「WannaCry」拡散 そのとき情シスはどうすべきだったのか（3/3 ページ）

[宮田健，ITmedia]

WannaCry対応ではなく「セキュリティ対策」を

　今回のWannaCryは、一般メディアも含め、世間で大きく報道されました。そのおかげで、企業だけでなく個人に対しても「ランサムウェアの恐怖」をいま一度知らしめました。しかし、WannaCryだけに注目していてはいけません。

　これまで、日本においてはWannaCry以外にも、日本年金機構の個人情報漏えい事件で使われた遠隔操作型マルウェア「Emdivi」、JTBの個人情報漏えい事件で利用されたといわれる「PlugX」など、話題になったさまざまなツールが企業を襲いました。これらの攻撃に、個別に対策することは無意味で、その根本にある原因が対策できなければいけません。その根本原因こそ、「脆弱性の放置」「バックアップの未実施」そして「従業員／情報システム部／経営陣の意識」なのです。

　今回のWannaCryは「たまたま」日本での被害が明らかにならなかっただけかもしれません。同じ脆弱性を使って、利用者のアクションなしにワーム的に自動感染する新たな脅威が、すぐそこまで来ていると考えるべきです。「拡張子を表示する」「ファイアウォール設定を見直す」「最新のセキュリティ機能がオンになっているかを確認する」「OS、アプリのアップデートが重要であることを再認識する」などは、新たな資産を購入することなく、いますぐできることです。

　情報システム部ではない、一般の従業員も人ごとだと思わず、自分ごととしてこの事件を捉えていただければ、WannaCryの“次”はないはずです。この機会に、ぜひ皆さんの「ITセキュリティ対策」を見直してみてください。