サイバーリスク：経営層がIT部門に尋ねるべき10の質問

2021年暮れ、一つの深刻な脆弱性が発見された。

Apache Log4j という名前のロギングライブラリで、脆弱性が発見されたのだ^*1。

その用語や詳細な技術解説は多くのウェブ媒体などでも行われているため本稿では割愛するが、この脆弱性を悪用すればランサムウェアに感染させることなどが可能となると見られている。

そして、Apache Log4j は企業で使用されているサーバにおいて広く利用されていることから、その影響が懸念されている。

この脆弱性の発見を受けNCSC（英国国家サイバーセキュリティセンター）は、経営層がIT部門に尋ねるべき10の質問を公開した^*2。

この質問項目は今回発見された Apache Log4j の脆弱性に限らず、広く活用できる設問であるため今回はその10の質問について紹介したい。

1. 誰が対応を主導しているのか？
2. この問題にどのような計画で対処していくのか？
3. 自社が攻撃されているかどうかを、どのようにして知るのか？
4. 自社にあるソフトウェア/サーバなどのIT資産をどの程度認識しているか？
5. シャドーIT/アプライアンスをどのように見つけていくのか？
6. 外部委託している場合、それらの事業者とオープンに対話し、問題の重要度が共通認識となっているか？
7. 影響を受けるコードやソフトウェアが用いられていることを確認できるか？
8. 自社の脆弱性などの問題を、外部の専門家が発見した際に簡単に連絡を受けることができるようになっているか？
9. BCP（事業継続計画）と危機対応について、最後に確認したのはいつか？
10. チームが燃え尽きるのを、どのように防いでいるか？

（^※質問項目を一般化するために、多少の意訳をさせていただきました。）

いかがだろうか？

設問2や設問10からもご推察いただけることと思うが、影響範囲の広い脆弱性が発見された場合には、対応に数週間から数ヶ月を要することもある。

そのため、対応には計画的かつ段階的なアプローチがとられていく。場合によっては、その影響範囲がより広範であったり深刻であったりする可能性もあり、時間と共に拡大していくこともある。IT部門のモチベーション維持も重要なポイントとなってくる。

また、設問6のようなことも現場では案外起こりうることである。自社と外部委託先のITベンダーとの間で深刻度の捉え方に温度差が生じているという場面は稀に見受けられる。

その結果、対応の優先順位などに齟齬が生じ、深刻な影響を及ぼす事態に発展することも考えられる。平時より社内外の円滑なコミュニケーションが重要である。

そして設問8であるが、自社のシステムの問題を外部の専門家やセキュリティ企業が偶然にも発見して教えてくれるということがある。

善意の場合もあれば営業目的の場合もあり動機は様々であるが、何らか問題を抱えているのであれば話を聞くべきだろう。製品やサービスに不具合があった際に問い合わせるための窓口同様に、円滑にコミュニケーションを取るための連絡先などが、容易に見つけられると良い。

これらの質問項目は一見すると使い古された質問のようにも思える。しかし、一つずつ再確認のつもりで見ていくと考えさせられることも多いのではないだろうか。

新しい年を迎えたこのタイミングで、今一度サイバーセキュリティについて考えていかれるきっかけとされたい。

出典

^*1 https://www.jpcert.or.jp/at/2021/at210050.html

^*2 https://www.ncsc.gov.uk/blog-post/log4j-vulnerability-what-should-boards-be-asking