うちではこんな記事を書きました。
米安全保障省、IEの使用停止を呼びかけ
IEの欠陥、修正プログラムの配布始まる
IEに見つかった「ゼロデイ脆弱性」、“タイミング”と“誤解”で騒ぎ拡大(日経ITPro)
2014年4月末、Internet Explorer(IE)に新たな脆弱性(セキュリティ上の欠陥)が見つかり大きな話題となった。例えばテレビや一般紙で大きく取り上げられ、一部の地方自治体や企業では、IEの利用やネットへのアクセスを制限したと伝えらえている。だが実は、同様の脆弱性は過去に何度も見つかっている。ではなぜ、今回の脆弱性がこれほど話題になったのか。それは、“タイミング”と“誤解”が大きく影響したと考えられる。
(後略)
同記事から引用します。
引用、ここから。
(前略)
引用、ここまで。利用しているソフトウエアの脆弱性解消は、セキュリティ対策の基本。脆弱性を突く攻撃が後を絶たない現状では、脆弱性に関する情報に絶えず気を配り、情報を得たらすぐに対応することが不可欠である。「脆弱性があるということは、危険な状態にあること」といった認識は、被害に遭わないためには重要だ。だが、騒ぎすぎたり、怖がったりすると、適切な対策が取れなくなる恐れがある。「IEを起動するだけで被害に遭う、と誤解しているユーザーもいた」(日本マイクロソフト)。IEを起動することを恐れていては、最新の情報や代替のWebブラウザーの入手もできなくなる。メディアの情報だけではなく、ベンダーやセキュリティ組織などの一次情報もチェックして、“狂想曲”に踊らされないようにすることが重要だろう。
私もはしゃぎ過ぎたのではないかと反省しています。
ただ、それを「今までもあったから、今回も気にしなくて良い」ではないと思います。
対策方法がないなど自分ではどうしようもない状況なら、「いっそ考えても仕方がないか」とするのもひとつの手ですが、今回の場合はそれほど手が掛からずに対策出来たのですから、きちんとそれをすれば良かったのです。
むやみに不安を煽るのも良くないかもしれませんが、防災訓練の一種だと考えてそれに沿って進んでみることも必要ではないでしょうか。
私はどちらかというと対策を聴かれたり、教えたりする側ですが、
「今までもあったから、今回も気にしなくて良い」
ではなく、
「深刻ではないようだけれど対応は取っておいてください。対応方法は~~です。」
と伝えるようにすべきだと改めて感じました。
「人事を尽くして天命を待つ」と言う言葉があります。
マルウェアに感染するかしないかは運という意味では天命の一部と思われますが、それに対処するのにただ天命を待つのではなく、出来ることは準備してから待つ方が良いと考えます。
そうそう、日本人的には「問題が(発生する可能性があったが)実際に起こらなかったなら、問題への対処は無駄である」との感覚があると思うのですが、結果論だけで言えばそうかもしれませんが、それは正しくないと私は思います。
「問題が(発生する可能性があったが)実際に起こらなかった」のは、予測の判断方法の問題であり、「問題への対処」方法の効果的な実施が問題だと思います。
なので、今後それらが正しく行えるように考えることが必要なのであって、判断した結果を後から無駄と言うことが意味の無いことです。
今回の事案、みなさんはどのように判断し対処されたか、一度振り返ってみられてはどうでしょうか。
それでは、今回はこのへんで。
0 件のコメント:
コメントを投稿