情報セキュリティ対策に足りないもの
こんばんわ!!
koutaです。
先日のstruts2の脆弱性のせいで(CVE-2017-5638,S2-045)仕事中にネットサーフィンすることが増えました。
そこてとある記事を見つけました。
情報セキュリティ対策に足りないものはなんと。
予算ではなく。。。
人材だそうです。
私は衝撃を受けてしまいました(笑)
イヤイヤイヤイヤイヤイヤ。。。。
と思わずつぶやいてしまいました。
まぁ都合の良い人材がいないということでしょうかね。
例えば、
======= パターン1 ============
改ざん検知、侵入検知をしたいからIPS/IDSを導入します。
ログ解析、パターン分析の技術者育成と機器購入や導入費用含めて1000万円(イニシャル900,ランニング100)です。
これによりセキュリティレベルで取れなかった20件の案件を取れるようになり、5年で回収できます。
============================
ではなく。
======= パターン2 ============
改ざん検知と侵入検知の仕組みを作るから100万円でやります。
(精度は自分の知識内になるから自信はないけど。。。)
十分対策できます!!
============================
という人材が足りないということでしょうか?
勝手な想像なのですけども。。。
いろいろ言う人はいるけど、我々に都合の良い人材はいないなーってとこですね。
私が思う一番足りないものは、
意思決定権のある上層部の
情報セキュリティに対する意識と知識です。
悪意のあるリクエストを受け取った場合、任意のコードが実行可能です。という脆弱性。
これでなにが起こるかわからない人が多いです。
だから対策も遅れます。
漏れるのがメールアドレスと氏名くらいなシステムならまだしも。。。
住所やらクレジットカード番号やら保管してるシステムはすぐに対策できないならシステム停止を検討するレベルの脆弱性です。
なんとかなって欲しいですよね。
正しいセキュリティ対策ができるようになると良いですね。