少し旧聞になるのですが、昨年の10月に、米国のサイバー庁*1とFBIとMS-ISAC*2が連名で、「Understanding and Responding to Distributed Denial-of-Service
Attacks(DDoS攻撃の理解促進と対策の向上に向けて:仮訳題)」という資料が公開されています。MS-ISACというのは、米国における行政組織のセキュリティに携わるヒトのISAC組織になります。
このガイドは、ISPや、WEBサイトなどを公開している法人向けに書かれたものだと思います。全体で9ページしかありません。
官民連携でこのようなガイドを出すというところが、素晴らしいと思います。広くDoSやDDoSのことを理解すること、あなたのユーザがVPNなどを介してネットワークに繋がっていることを理解することが重要、必要な防御対策を図りましょうというメッセージなどが簡潔にまとめて書かれています。
日本でも、サイバー攻撃に関する報告書や、啓蒙にかかる資料はたくさん出ています。中には製品ベンダーやソリューションベンダーが、自社の製品やセキュリティソリューションの購入に紐付けるものや(それはそれで、必要なものですが*)、病院に対するランサムウェア事例などの報告書*3も目にすることが出来ます。
個別具体な事例の報告は、どうしても具体的に報告するために相応のページ数を割くことになりますが(上記例の場合では、本編+技術編で150ページ)、具体的な事例の報告ではなく、官民連携でセキュリティ対策を促すものについては、メッセージを打ち出すことが重要なので、非常にページ数も少なくて済みます。
少ないページ数で自分ごととして読めて、自社の対策を打ち始めることができればそれでよいし、「自社と同じ構成でセキュリティインシデントがあった場合にしかウチは対応しない!」というポリシーの場合には、なかなか予防的な対策を取られることが難しいのかなと思います。
病院の例はあくまで一例ですが、遠隔診療など、インターネットの先にあなたのユーザ(患者さんやお医者さん)が居るわけで、でも病院の先生がセキュリティ対策を立てないとという意識は立ち上がりにくいだろうなと思います。
※ 徳島ではなく、大阪の方でランサム被害が大きかった病院のホームページで、情報システム・ネットワークに関する調達が公示されていましたが、どうしても「◯◯システム」というモノの表現ばかりが目立っているので、セキュリティ対策にも強くなるといいなと思います。
* 人手で苦労して進めるセキュリティより、製品・ソリューションで対策した対策のほうが、人手による不正、特に退職者を含む内部犯行が防ぎやすいということでは、製品・ソリューションの活用は重要です。ただし、インシデントで炎上した際には、その機を幸いにで駆けつけるヒトも来ますので、その点は留意して投資判断してください。
本来、投資判断は自分のペースで判断するのが良いですから、炎上してからの対策では基本リスクが大きくなります。
