追記:マネジメント側で出来る最大の対処
「(3)イ 脆弱性情報等に関する情報のエスカレーションプロセスの策定」の後にも考えるべきことが2つあった。
それは、「深刻な脆弱性を保有するシステムに対する『システム停止を含む緊急対応』の事前策定と関係者間の合意」と「策定したプロセスが機能することの確認」。
「脆弱性」が発見され、「即インシデントに発展する危険性の高い脆弱性である」ことがわかった場合に、システムに対する措置を遅滞なく行うことが必要なわけだが、この話を「都度協議の上で行う」とした場合、まず間違いなく「意思決定→通達→対処」というプロセスを踏むことになる。
しかし、このプロセスにかかる時間すらも惜しい(何もしないで攻撃される危険性が高くなる)場合には、緊急避難的な対処を行うことになる。
このような対処を行う基準を策定し、関係者間で合意を取るのが、マネジメント側が行える(というかマネジメント側が行わなければならない)最大の対処の1つであろうと考える。
あとは、「策定したプロセスがきちんと機能するかどうか?」の確認が必要である。このために机上検証が必要であることはもちろんのこと、関係者が参加しての「訓練」が有効である。
再発防止は「再発防止策が機能したら、発生したインシデントは発生しなかったか」がカギ
これは私見だが、再発防止策を考えるときには、考えた策を適用することで「発生したインシデントが発生しなかったか」の検証が必須と考える。
そして、「今やってること」「今やってないこと」「やるべきこと」「今やるべきこと」「今後やるべきこと」の層別が必要になってくる。
再発防止には「入手した脆弱性情報の適切な評価」をプロセスに含めることも対策に含めるべきではないか
脆弱性情報は、早期に入手すればするほど「危険性の評価」が難しくなる傾向にある。これは、公開情報などを契機に「早期に」入手できた情報には「PoCなどが伴わない」ことが多いからだ。この場合、おおざっぱには当該情報をもとに「対処する」「PoCなどの公開がされないか経過観察する」「対処しない」という三択になる。
「全社的リスク管理の課題」は本当に真の課題か?
現場に寄り添うべき立場の者として、この課題(の記述)は少し腹立たしい。
報告書中、以下のような記述がある。
本件事故の原因とも言える「大規模の脆弱性発覚」のリスクは、本来、看過できない重大なリスクであったと考えられるものであるが、経営管理の上流での検討が十分になされないまま、現場サイドの判断によって重大リスクから漏れてしまっていた。
これは少し、現場サイドに責任を押し付けているようにも読める。
現場サイドはこれまで脆弱性対応を(現場で)大変な目にあいながらも致命的な事故が発生する前に迅速に行なえてきたのではないか、と感じる。そして、そういった現場の話とは別に、外部での攻撃発生や被害発生について、経営管理上のリスクを検討するインプットになっていなかったのではないか、とも感じる。