「前例のないGW10連休、セキュリティ上どう備えるべき？」専門家、徳丸浩さんに聞いた：『徳丸本 第二版』についても直撃（2/3 ページ）

[高橋睦美，ITmedia]

やることはシンプル、基本に忠実にポリシーと連絡体制の確認を

　では、攻撃や内部犯行、改元にまつわる障害といったさまざまな可能性に備え、情報システム部門はどんな準備を進めるべきでしょうか。

　徳丸氏はまずセキュリティの観点から、「やはりポリシーをちゃんと守ることです」と話します。

　「長期休暇となると、社員が勝手にノートPCを持って帰ってしまうことがあります。何も不純な動機からではなく、仕事熱心な人、責任感のある人ほどやりやすいのですが、やはり自宅など通常とは異なる環境で使うと、企業システム内で使う場合に比べて防御が弱く、攻撃にやられやすくなるかもしれません。また、家族が使っているPCがウイルスに感染していて、そこから波及する、といったことも考えられます」（徳丸氏）

　このリスクを踏まえ、同氏は、「休暇前にもう一度ポリシーを確認し、もし持ち出しが必要であれば許可を取り、安全な方法でできるようにすることが大切だ」と語ります。

　もう一つ、特にECサイトなどを運営している場合に必要なのは、いざというときの連絡体制と意思決定プロセスの確認です。「もしWannaCryのようなインシデントが発生したらどうするかを考え、情報収集担当者をアサインし、連絡体制を整えておくことです」（徳丸氏）

　最近も、Webサイトが改ざんされてクレジットカード情報が漏れた事件がありました。「このケースでは、実は早くに不審なファイルを見つけていたにもかかわらずサイトの稼働を続けたために、被害が拡大してしまいました」と徳丸氏は指摘します。

　「仮に何か不審な兆候に気付いた場合、最終的にはセキュリティの専門家に任せることになるかもしれませんが、それまでの間Webサイトを止めるにしても、『停止には部長の決裁が必要』といったルールがあると、休暇中に部長に連絡してもいいのかどうかためらってしまい、その間に被害が拡大してしまうことがあります。逆にルールが決まっていれば、それに従って淡々と連絡を取ればいいだけです」（徳丸氏）

　意思決定プロセスをきちんと設定し、確認しておくことは、改ざん対策だけでなくDDoS攻撃対策でも重要だといいます。

　「DDoS攻撃だけは『許容する』という選択肢があるので、特にポリシーを決めておくことが大事です。諦めるのか、ある程度頑張るのかを攻撃が来始めてから考えていても遅いので、事前に決めて準備しておくことが大事です」（徳丸氏）

「もし、管理者に連絡がつかなかったら」を想定したシナリオも有効

　さらに踏み込んで、意思決定権限を持つ人に連絡がつかない可能性も考慮し、「ここまで来たらこうする」と、現場の裁量でもある程度できることを決めておくべきだと同氏は語ります。また、せっかく連絡網を作っても、内容が古くなっている可能性もあります。災害時の連絡体制なども参考に、緊急連絡先を確認しておくことが必要でしょう。

　「あとは、よく言われる通り、基本を徹底することです。PCもそうですし、Webサーバについては休暇中はしばらく無防備な状態になるため、パッチを適用しておくなど、できることは休みの前にやっておくべきでしょう」（徳丸氏）

　もちろん中には「パッチを適用すべきことは分かっているけれど、人や予算が付かないのでひとまず先送り」というケースもあるでしょう。けれど、Apache Struts 2のケースのように、脆弱（ぜいじゃく）性が発覚してから攻撃に悪用されるまでの期間の短さ、攻撃によるインパクトの大きさを考えると、「いざというときのために予備費を見込んでおく」といった奥の手を検討するのも有効だそうです。

　ちなみに、危険な攻撃や脆弱性は、なぜか休日や週末に到来することが多い――。多少バイアスがかかっているかもしれませんが、それが徳丸氏の率直な印象だそうです。

　徳丸氏は「攻撃側もさまざまなので、事前にどんな攻撃が来るかを予想するのは難しい」とした上で、「強いて挙げれば、WordPressのプラグイン回りにはぜひ注意を払ってほしい」と語りました。

　「WordPressを利用している企業は多く、それ自体はそんなに脆弱性が頻繁に発覚しているわけではありません。ですがプラグインのセキュリティは非常にひどい状況で、不要なものは外すべきです。サイトの見た目の問題などで外すわけにもいかないプラグインについては、せめて脆弱性を監視しておくべきでしょう

　（ゼロデイ脆弱性のような）突拍子もない攻撃に対処できないのは仕方ないことだと思います。けれど、そんな攻撃はそう多くはありません。セキュリティ事故が起こったときに一番多い後悔は『基本に忠実にやっておけば』ということです」（徳丸氏）