2022年12月20日より厚生労働省がソフトウェア協会に委託して、医療機関向けのサイバーセキュリティ対策研修を開始するという報道が流れています。

医療現場におけるPCやシステム利用などの基本的な情報セキュリティ研修から実施していくようです。また実際にサイバー攻撃を受けた場合の初動対応支援についても調査を行うとしています。

このところ大きく報道された病院や病院のサプライチェーンを発端としたサイバー攻撃では、病院機能が完全にストップしてしまう事態になっていました。今回の研修開始は、サイバー攻撃を防ぐためにパスワードの使いまわしなどの基本的な情報セキュリティ対策の点検も含めた研修プログラムを医療機関向けに実施することで、病院業務を止めるような事態にさせないという施策と言えます。

ITを駆使した業務を展開する一般の企業においてはすでに当たり前になっているセキュリティ研修かもしれません。Emotetなどのマルウェアを添付したメールが再び大量に送られている現状では、一般企業においても自己防衛を徹底する必要があります。

情報セキュリティ担当が置かれた企業ではしっかりIT資産として様々なネットワーク機器が管理されていると思います。海外展開する事業所や子会社まで本社の情報セキュリティ対策と同様に管理がされていますでしょうか。

脆弱性がありランサムウェアによるサイバー攻撃があったと報道されているVPN装置を知らずに使っている子会社や海外事業所はありませんか。脆弱性があるVPN装置を利用している場合は脆弱性を修復するアップデートを徹底していますか。

IT資産を把握することは、資産計上のためだけではなく脆弱性を狙われないようにするセキュリティ対策と認識して管理を行うようにすべきです。本社や支社、事業所、海外拠点、海外子会社を含めてどこに何台のPCがあって、どんなネットワーク機器でつながっているかはセキュリティを維持するためには最低限行う必要のある管理です。

ネットワーク機器以外でもPCの場合は利用しているOSの脆弱性、クラウド利用に欠かせないWEBブラウザーの脆弱性、オフィスソフトやPDFリーダーの脆弱性というように管理が必要なソフトウェアがいっぱいです。

これらの脆弱性情報を常にキャッチすること、そして自社のPCと突き合せてマルウェア感染の可能性のあるPCを把握してアップデートを行うことが情報セキュリティ管理には最低限必要です。

ISM CloudOneでは、日々更新されている様々なソフトウェアの脆弱性のアップデート情報を辞書化したサービスがあります。この辞書と日々収集するPCのインベントリ情報を突き合せることにより自動脆弱性診断を実現しています。

ISM CloudOneは、クラウドサービスによりPCのセキュリティを管理するものです。基本的な管理から個別のセキュリティ対策のオプションメニューも充実しています。ゼロデイと言われるアップデートが間に合わないマルウェアが侵入したとしてもその攻撃をふるまいで検知して隔離するふるまい検知サービスもご用意しています。

また、海外子会社など管理が届きにくい場所にあってISMCloudOneの導入のための予算化がままならない場合などは、無償で脆弱性診断を提供するPCドックが役に立つと思います。PCドックで把握した脆弱性情報を利用してISM CloudOneおよびふるまい検知機能の必要性をアピールできると思います。

It's only fair to share...
00