Windowsやブラウザと相次ぐ脆弱性報告に企業グループ全体で対処できてますか

 

サプライチェーンに属する企業のセキュリティ対策が、”サイバーセキュリティ経営ガイドライン”で明記されましたが、みなさんのサプライチェーンにおけるセキュリティ対策の方針は決まりましたか。

サプライチェーン各社のPCでも利用されているOSやブラウザその他のソフトウェアは、相次いで新たな脆弱性が見つかったとして修正版を公開しています。中にはすでに何らかの攻撃に利用されている脆弱性も含まれています。

見つかった脆弱性 JPCERT/CC や IPAのサイトで最新から過去のものまでを一覧で確認することができます。

JPCERT/CC :jvn.jp/report/index.html

IPA :www.ipa.go.jp/security/vuln/

 

見つかった脆弱性を修復した新たなバージョンのソフトウェアは各ソフトウェアメーカーから提供しています。ゼロデイ脆弱性と言われる修正版が提供される前に攻撃が行われた脆弱性については、まず攻撃を確認された脆弱性のみが公開されることもあります。

どちらのケースにおいても脆弱性を修復するプログラムを適用しない限り脆弱性を狙った攻撃から守ることはできません。

しかし、自社やサプライチェーン各社で利用するPCのソフトウェアについて脆弱性を毎日確認することは、管理対象PCのすべてを把握するツールを使わないと事実上不可能です。

自社で利用するPCだけであれば一つのツールで把握することができますが、海外に展開するグループ会社

を含めて把握するためには、英語や中国語などの言語に対応したツールが必要です。さらに各社で把握したPCの情報を本社などにて一元的に把握する仕組みも必要となります。

海外を含むサプライチェーンでつながった別々な会社の場合においては、サプライチェーン各社との情報開示などの取り決めにもよりますが、全体を一元管理することは難しいかもしれません。しかし、セキュリティ対策の徹底を指示するだけだとリスクが残ったままであることを認識する必要があると思います。

ISM CloudOneでは、別々に導入している企業毎のISM CloudOneを親会社などが一元的に統制をかけることが可能なCentral Console機能が付きました。

このCentral Console機能を利用することでグループを構築する企業が利用するISM CloudOneの情報を全体として可視化することが可能です。サプライチェーンの中にある企業においてもすべてがISM CloudOneを導入している状態であれば同様に全体を可視化することができます。

すべてのPCの脆弱性診断を日々行うことで、海外を含めてグループ企業全体やサプライチェーンの安心安全に近づける管理が実現できると考えます。

 

 

It's only fair to share...
Share on Facebook0Tweet about this on TwitterShare on LinkedIn0

クラウドサービス製品

  1. インターネットを利用する上ではフィッシング被害の増加やマルウエア感染からランサムウエアによる被害…
  2. オンプレミスで社内のIT資産管理を行ってきたQNDが、クラウドを使えるようになりました。この新機…
  3. SaaS利用とオンプレミス どっちが得か? ITを利用する業務において昨今ではクラウドからSa…

働き方改革

  1. VPN経由の被害が目立っているサイバー攻撃は、なぜ起きるのか

    警察庁が9月9日に発表した「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」によ…
  2. ローテーション勤務を安全に実施する「セキュリティガイドライン」

    緊急事態宣言の延長されましたが、陽性者数は減少しない状況です。ワクチン接種が進ま…

構成管理/サポート

  1. Microsoft Office 2013は、2023年4月11日に延長で続いていたサポートも終…
  2. 2022年12月20日より厚生労働省がソフトウェア協会に委託して、医療機関向けのサイバーセキュリ…

このサイトをシェア

Share on FacebookTweet about this on TwitterShare on LinkedIn

管理ノウハウ

  1. 情報セキュリティ監査とは? 情報セキュリティ監査とは、組織や企業で管理すべき情報システムが正常に動…
  2. 普段使っているスマートフォンやPCは、脆弱性がないか、不正アクセスされた痕跡がないか、セキュ…
  3. Microsoft Officeとは、Excel、Word、Powerpoint、Outlo…

セキュリティ対策

  1. 7月19日に、CrowdStrike(クラウドストライク)社のソフトウェアアップデートを起因…
  2. 本記事では、AIサービスの業務利用を検討している方向けに、生成AIを企業で業務利用する際の注…
  3. セキュリティパッチとは、公開されているシステムやソフトウェアに発見された不具合を解消するため…
ページ上部へ戻る