Windowsやブラウザと相次ぐ脆弱性報告に企業グループ全体で対処できてますか
サプライチェーンに属する企業のセキュリティ対策が、”サイバーセキュリティ経営ガイドライン”で明記されましたが、みなさんのサプライチェーンにおけるセキュリティ対策の方針は決まりましたか。
サプライチェーン各社のPCでも利用されているOSやブラウザその他のソフトウェアは、相次いで新たな脆弱性が見つかったとして修正版を公開しています。中にはすでに何らかの攻撃に利用されている脆弱性も含まれています。
見つかった脆弱性 JPCERT/CC や IPAのサイトで最新から過去のものまでを一覧で確認することができます。
JPCERT/CC :jvn.jp/report/index.html
IPA :www.ipa.go.jp/security/vuln/
見つかった脆弱性を修復した新たなバージョンのソフトウェアは各ソフトウェアメーカーから提供しています。ゼロデイ脆弱性と言われる修正版が提供される前に攻撃が行われた脆弱性については、まず攻撃を確認された脆弱性のみが公開されることもあります。
どちらのケースにおいても脆弱性を修復するプログラムを適用しない限り脆弱性を狙った攻撃から守ることはできません。
しかし、自社やサプライチェーン各社で利用するPCのソフトウェアについて脆弱性を毎日確認することは、管理対象PCのすべてを把握するツールを使わないと事実上不可能です。
自社で利用するPCだけであれば一つのツールで把握することができますが、海外に展開するグループ会社
を含めて把握するためには、英語や中国語などの言語に対応したツールが必要です。さらに各社で把握したPCの情報を本社などにて一元的に把握する仕組みも必要となります。
海外を含むサプライチェーンでつながった別々な会社の場合においては、サプライチェーン各社との情報開示などの取り決めにもよりますが、全体を一元管理することは難しいかもしれません。しかし、セキュリティ対策の徹底を指示するだけだとリスクが残ったままであることを認識する必要があると思います。
ISM CloudOneでは、別々に導入している企業毎のISM CloudOneを親会社などが一元的に統制をかけることが可能なCentral Console機能が付きました。
このCentral Console機能を利用することでグループを構築する企業が利用するISM CloudOneの情報を全体として可視化することが可能です。サプライチェーンの中にある企業においてもすべてがISM CloudOneを導入している状態であれば同様に全体を可視化することができます。
すべてのPCの脆弱性診断を日々行うことで、海外を含めてグループ企業全体やサプライチェーンの安心安全に近づける管理が実現できると考えます。