PSNからの情報漏洩で大騒ぎ中ですが、差し出がましいようですが、私もひとつコメントさせて頂きます。
ちなみに、私も新聞各紙で出ている情報以外は知りませんので悪しからず。
本件は事後対応策を全くしていないかった典型的事例だと思います。
セキュリティ対策は、予防策から事後対応策までバランス良く実施できれば、それに超した事はありません。しかし、運用面やコスト、リソースなどの課題を考えると、中々そうはいかないのが現実です。
ところが、万一事故が発生した際に、確実に顧客の信頼を失うのは、事後対応策を怠った場合です。
なぜならば、事後対応策がとられている組織の場合、比較的原因究明が早いためです。そのため、
「○○の可能性で侵入された可能性が高いため、確認中です。」と第一報。
「○○に原因があったため、至急対策を実施しました。」
と最終報告がしやすいわけです。
それに対し、事後対応策が不十分である場合、これが言えません。
「鋭意調査中です。」
「恐らく、○○が原因だと思われます。」
「取り合えず、セキュリティ対策を強化しました。」
くらいの台詞がお約束です。
もし、ユーザであったら、どちらが安心感があるでしょうか。
勿論、広報の発表の仕方にもよりますが、事故後のアクション次第で組織への影響は大きく変わるものです。
いくつも、類似の事件を見てきましたが、今回は失敗の典型的事例に映ります。
IPS、WAF、アンチウイルスなどの予防策だけがセキュリティ対策では無いのです。
ちなみに、私も新聞各紙で出ている情報以外は知りませんので悪しからず。
本件は事後対応策を全くしていないかった典型的事例だと思います。
セキュリティ対策は、予防策から事後対応策までバランス良く実施できれば、それに超した事はありません。しかし、運用面やコスト、リソースなどの課題を考えると、中々そうはいかないのが現実です。
ところが、万一事故が発生した際に、確実に顧客の信頼を失うのは、事後対応策を怠った場合です。
なぜならば、事後対応策がとられている組織の場合、比較的原因究明が早いためです。そのため、
「○○の可能性で侵入された可能性が高いため、確認中です。」と第一報。
「○○に原因があったため、至急対策を実施しました。」
と最終報告がしやすいわけです。
それに対し、事後対応策が不十分である場合、これが言えません。
「鋭意調査中です。」
「恐らく、○○が原因だと思われます。」
「取り合えず、セキュリティ対策を強化しました。」
くらいの台詞がお約束です。
もし、ユーザであったら、どちらが安心感があるでしょうか。
勿論、広報の発表の仕方にもよりますが、事故後のアクション次第で組織への影響は大きく変わるものです。
いくつも、類似の事件を見てきましたが、今回は失敗の典型的事例に映ります。
IPS、WAF、アンチウイルスなどの予防策だけがセキュリティ対策では無いのです。