オープンソースによるフリーソフトは、ちょっとしたPC作業を助けてくれる機能をもったものがたくさんあります。会社のPCであっても従業員にとってはセキュリティ意識よりも業務をすすめることを優先して利用することがあるのかもしれません。

今回脆弱性が共通脆弱性評価システム”CVSSv3.1”による評価が”9.0”とされた Ffmpeg の脆弱性は、悪意あるMP4ファイルを読み込むとコードが実行されてしまう危険があるとのことです。ビジネスにおいて様々な説明に動画が利用されており、だれもが動画を扱うようになった現状では、ちょっとした分割や連結などをすぐに行いたいというニーズが生まれます。

ちょっとした音声や動画の処理をテンポラリーにする場合は、高価な動画編集ソフトの購入はためらってしまい、Ffmpeg のようなオープンソースやフリーソフトを使ってしまうことが、企業で利用するPCやテレワークで利用するPCで起こっているかもしれません。

テンポラリーで利用した後に、削除をせずにPCに残っていた場合には、WEBサイトに置かれた悪意あるMP4ファイルを開くことになってしまうかもしれません。わざわざ脆弱性情報を確認してアップデートするようなことはもちろんしないはずです。

企業活動を安心安全に行うためには、安全と認められたソフトウェアを最新状態にアップデートして利用し続けることが脆弱性を狙った攻撃から守るために有効です。そのためには企業の中で利用してよいソフトウェアと利用してはいけないソフトウェアをしっかり決めることが必要です。利用を決めたソフトウェアに対してはアップデートのルールを決めて脆弱性を残さない利用とすべきです。

また、インターネット上にたくさん存在するソフトウェアの利用は厳しく制御する必要があります。

クオリティソフトが提供するISMCloudOneは、自動脆弱性診断機能において怪しいと思われるソフトウェアをグレイネットソフトウェアとして、利用中のPCを毎日診断して見つけ出すことができます。さらにソフトウェア起動制御機能によりそれらのソフトウェアの軌道を止めることができるのです。

グローバルで300社を超えるグループ会社のPCの管理をISMCloudOneをベースとしたNRIセキュアの「PC CheckCloud」で実施中の豊田通商株式会社様の事例では、日々のセキュリティ情報を把握する中に危険なソフトウェアの起動制御も含まれています。各国の事情により制御するソフトウェアも違いがあるようです。

ISMCloudOneでは、危険かもしれない怪しいグレイネットソフトウェアをセキュリティ辞書として日々情報を更新しています。この辞書の更新こそが、禁止ソフトを起動させずにPCやネットワークをサイバー攻撃から守るために役立っています。

このグレイネットソフトウェア辞書は、無償で毎日PCを診断できるPCドックで利用しています。ISMCloudOneを導入する前でも自分たちのグループ会社や、サプライチェーンにおいて危険なソフトウェアが利用されていないかをチェックすることが可能です。

PCドックは、無償で何台でも毎日診断を行い、その結果をWEBコンソールにより危険度を把握できます。

導入に予算が必要な管理ソフトですが、サイバー攻撃は待ってくれません。まずは無償のPCドックで診断してみてはいかがでしょう。

It's only fair to share...
00