IEのゼロデイ脆弱性への対応に見る、企業のセキュリティレベル
IEの脆弱性問題一つとっても、企業の対応は様々
マイクロソフトが発表した、Internet Explorer(IE)の脆弱性問題。全てのIEが対象なので、対応に追われた方も多いと思います。また、マスコミでもかなり報道されているので、認知度もかなりのものと思います。
実際、かなり危険度が高い脆弱性なので、セキュリティ担当者であれば、社員への周知なども含めて迅速な対応を行うべきですが、マイクロソフトが出した発表を見てすぐに初動を行った企業もあれば、マスコミで騒がれてからようやく対応に動き出した企業、そして、これだけマスコミで騒がれていながらも、誰も対応に動かない、もしくは、動けるような人が居ない企業まで、その対応は様々なようです。
もし、あなたの会社にいる誰もが問題に無関心だったり、また、何が問題なのか誰も理解できない。といった状況だったとしたら、それはかなりまずい状態かもしれません。もちろん、脆弱性に関する技術的な話にまで踏み込んで、全ての人に理解してもらおうとするのは流石に難しいですが、問題がこれだけマスコミで取りざたされているにも関わらず、自分には関係が無いことという意識でいる社員が居るようなら、せめて、「もしかしたら自分にも関係があることなのではないか?」と思うよう、セキュリティに関する関心度を高めるための対策が必要でしょう。
関心が無いというのは、湿った状態にある薪と同じ
湿った薪に火をつけるのが難しいように、関心が無い人に関心を抱かせるのはなかなか難しいですが、こればかりは根気よく続けていくしかありません。湿った薪も、火の中にくべることで徐々に乾燥し、やがて火が付くものです。
セキュリティ教育もそれと同じ事。eラーニングや訓練を実施する、セキュリティに関する話題を継続して社内に発信し続ける、定期的に理解度測定を行う、等々、手を変え品を変えて根気よく続けていくことで、セキュリティレベルは上がっていくものです。これをやるかやらないか。組織におけるセキュリティを支えるもの、それは不断の努力と継続に他なりません。
→次の記事へ( 御社のセキュリティ教育、本質を理解させられているでしょうか? )