テクノロジー

2023.08.21 09:30

続発するサイバー攻撃被害、なぜ「欠陥のある機器」が放置され続けるのか

ここでいう脆弱性とは、開発者が意図しない動作をソフトウェアが引き起こしてしまうセキュリティ上の欠陥で、悪用されると機器が乗っ取られたりする危険性がある。ITに直接関わっていない場合には、そのようなものがなぜそのまま放置されているのかという疑問が湧いてくるのではないだろうか。

コンピュータプログラム、ソフトウェアは、人間が作っているものである以上、完璧ではなく大なり小なり必ずといっていいほど問題は存在する。日々スマートフォンを使っている最中に、アップルやグーグルといったスマートフォン用OSのメーカーから「問題を修正するアップデートの適用」を促されるのを思い出せば容易に理解ができるだろう。

簡単なようで簡単ではない、企業での機器の更新作業

個人所有のスマホであれば、突然更新を促されてもボタン1つで簡単に終わるのでそんなに難しい話ではない。しかし企業のIT環境においては、機器の問題を修正すればいいという単純な話ではなくなってしまう。まず国内では、ネットワーク接続用のさまざまな機器の運用・保守を自前で行っているケースは決して多くない。市場全体的なIT人材の不足や企業としてのIT人材への投資不足などが要因だ。結果、運用・保守を専門に請け負うベンダーに対応を一任することになる。

ユーザー企業側としては、脆弱性の問題を解決するための更新作業くらい標準で契約や対応に含まれているはずと思うかもしれないが、実は必ずしもそうではないのが実情だ。当然のことながら、ベンダーは契約書や作業明細書(SoW)に明記されたものについてのみ対応することになるが、対応項目や頻度を含めて表現が曖昧だったり、具体的な作業レベルで責任の所在が明確になっていないケースの方がむしろ一般的だろう。脆弱性に対するアップデートの適用は保守の対象範囲外になっているケースも普通にある。

加えて、稼働するシステムが止まることに対する抵抗感が、国内では欧米以上に強くある。更新作業で問題が発生すればビジネスに影響が出る上、それが起きないために検証作業を行うとなると工数や費用がかかるため、いずれにしてもユーザー企業と運用・保守メーカー双方で更新作業が敬遠されることになる。更新頻度が多くなれば、その抵抗感はさらに強くなってしまう。
次ページ > リスクを最小限にするための「責任分界点」とは

編集=安井克至

タグ:

ForbesBrandVoice

人気記事