メディア

WannaCryで明らかになった生産システムのセキュリティ、「理想」と「現実」の間(4/4 ページ)

» 2017年07月26日 09時00分 公開
[高橋睦美TechFactory]
前のページへ 1|2|3|4       

調達側、ガイドラインなども巻き込んだ取り組みを

 もう少し長い目で見ると、ITシステムに比べ生産システムの機器運用は長期に渡ります。その中で、脆弱性が明らかになった際に誰がどのように対応するのか、調達側も巻き込んだ検討が必要になりそうです。既に機器ベンダーの中には、個別のアップデートを提供する動きも見られます(ITmedia NEWS:ランサムウェア「WannaCry」、医療機器メーカーも独自パッチを準備)

 ただ医療機器など一部の業界では、法規制やガイドラインをクリアしていったん納品した機器に手を加えると、認定から外れてしまうためパッチが適用できないという問題も指摘されています。品質を確保するために作られた法規制によってパッチ適用やバージョンアップが難しくなり、セキュリティ面でかえって足かせになる恐れもあります。こうした観点も含め、ガイドラインの整備も含め、議論していく必要もあるのではないでしょうか。

 もう1つだけ最後に付け加えさせてください。

 あるマルウェアやサイバー攻撃が話題になると、そこにばかり目が行きがちですが、ネット上では他にも、同時並行で標的型攻撃やフィッシングメール、DDoS攻撃などさまざまなことが起こっています。ランサムウェアだけではなくさまざまな可能性を考慮に入れ、不測のセキュリティインシデントが起きたときにどう対処するかを考えていただきたいと思います。生産システムならば、何らかの不測の事態、例えば天災や事故などに備えた計画は既にお持ちのところが多いと思います。その一要素に、サイバーインシデントも加えて考えてみてはいかがでしょうか。

前のページへ 1|2|3|4       

Copyright © ITmedia, Inc. All Rights Reserved.