　今回のインシデントについての解析結果がまとまったので、報告のため、赤坂さんとともに再び工場を訪れた。

　製造ラインは日常を取り戻していて、今日も問題なく操業できているようだ。

　出迎えた事務の方に事務所内の応接スペースに案内され、早速、調査結果を中野所長に報告した。

　今回の原因は、ランサムウェアの感染。

　侵入経路としては、何者かによって送り付けられたメールが端緒。

　メール本文に記載されていたURLリンクをクリックしたことにより、不正なWebサイトにアクセス、ウィルスをダウンロードさせられて感染。

　感染したPCからネットワーク上の他の端末に伝染。ウィルスは自己でネットワークを探索するタイプで感染が拡大し、製造ラインのコンピュータにも影響が発生。

　製造ラインのPCは、インターネットに接続する要件がないものであったが、なんらかLANケーブルが接続され、社内のネットワークに接続されている状態であった。

　そのPCはOSのセキュリティパッチの適用が行われておらず、今回のランサムウェアによってOSの脆弱性を攻撃されて感染するに至った。

　今回のGoodポイントとして、

　異変に気が付いてから迅速にエスカレーションしたこと、

　そのおかげで被害が局所的なもので済んだこと、

　が挙げられ、その点は教育の際に生かして従業員を鼓舞してほしいと伝えた。

　当事者たちで何とか自己解決しようとして封じ込めを図ろうとして、時間だけが経過して被害が拡大するようなケースは結構多い。

　インシデントは絶対に発生させてはならないといった、半ば「上からの脅し」のような観念がある組織だと、インシデントを何とかしてなかったことにしようとする傾向がみられ、いつの間にか手の施しようのないほどに被害が拡大した後に自社のCSIRTやセキュリティを専門にする会社への一報が届くことがあるよう。

　今後の取り組みとして、

　・インターネット環境にあるPCについては、セキュリティパッチを適用するようにする

　・ネットワークに接続できるPCを特定した上で管理し、そのPC以外からのネットワーク接続を許さないようにする

　・ネットワークから切り離されていたとしても、USBメモリやSDカードなどの可搬媒体からウィルスを持ち込まれる場合があるので、不要なUSBポートやソケットはハードウェア的にもソフトウェア的にも閉塞（へいそく）しておく、データの持ち出し対策としても実施しておくのがよい

　・復旧できるようにバックアップは取っておき、物理的に分離された場所で保管するようにする

　ことなどを説明した。

　また同様のインシデントが発生しないように、満点を取る必要はないのでできるところから最低限やるべきことを地道に進めていきましょうと伝え、私のインシデント対応の初陣は、なんとか幕を閉じたのであった。

ハートをクリックで、簡単に応援の気持ちを伝えられます。（ログインが必要です）

新規登録で充実の読書を

マイページ: 読書の状況から作品を自動で分類して簡単に管理できる; 小説の未読話数がひと目でわかり前回の続きから読める; フォローしたユーザーの活動を追える
通知: 小説の更新や作者の新作の情報を受け取れる
閲覧履歴: 以前読んだ小説が一覧で見つけやすい