Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録

2019年に企業が取り組むべきセキュリティ対策について5つのヒントとは?
前編では、ビジネス推進のステークホルダー拡大の影響、また働き方改革によるワークプレースの多様化について解説しました。後編では、情報システムの管理において不可欠なアップデートマネージメントについて、また広範なクラウドサービスでのセキュリティ、企業におけるセキュリティ実践のリーダーシップとスタイルについて紹介します。

ヒント3システムのアップデートマネージメント

業務にかかわるシステム運用の話に特化してみましょう。ウェブでも、社内システムでも構いません。いずれの場合でも、稼働中のシステムをハッキングされ、情報を窃取される事件があとを絶ちません。このインシデントの企業への打撃は尋常ではありません。

原因の大半は、「稼働しているシステムのメンテナンスやアップデートを放置、あるいは放棄している」という運用上のミスに起因します。そこをきちんと行うと「8割はリスクが下がる」という専門家もいます。

昨今はシステム構成要素の多くが、自作のアプリケーションよりむしろ、毎週何百というアップデートがあるオープンソースソフトウェアやサードパーティのものになっています。クラウドプラットフォームを使っていることでサーバーをケアする必要がなくなってきたせいか、このアプリケーション層が放置されてしまうことがあるかもしれません。この放置状態の解決に取り組むにしても、社内の情報システム資産のカタログがそもそもない、という現実に直面することさえあります。

それでも、あきらめずにアップデートマネージメントに取り組むと、システムのリスクは激減します。まずは、オープンソースのツールで、OWASP Dependency Check(オワスプ・依存性チェックツール)や、VULS(バルス)というスキャナーを利用してみるのも良いでしょう。商用製品もいくつかあるようです。

システムのアップデートに計画的に取り組むと、副次的な効果もあります。つまり、コンポーネントのバージョン、ライセンス、プラットフォームの設定、管理の流れを把握できます。これらは情報システム運用にかかわる不可欠な要素であり、シフトレフトの第一歩、と言えるでしょう。

この記事のキーワード