JTB不正アクセス事件から何を学びとれるのか？

不正な通信を検知した後、どうする？ 根岸氏 少し話が変わりますが、感染後の対応の点にも触れたいと思います。報道によれば、今回は「PlugX」と呼ばれるRAT（Remote Administration Tool）による外部との通信がセキュリティベンダーによって検知され、そのベンダーから連絡があったことで、JTB側が攻撃に気付いたとされています。こういう気付ける仕組みがあるかというのはもちろん大切ですが、「検知した後どうするのか」という点も重要だと考えています。例えば、「不正な通信を行っているコンピュータを特定する」「通信を止める」「他にも感染端末がないか調査する」といったことですね。 今回のニュースを見ていると、不正な通信を検知してから全て遮断するまでに、5日ほどかかっています。その間いろいろやっていたのだろうとは思いますが、結果的には、その間に情報が漏れた可能性が高いようです。このように

[k-holy]

“業務を止めてまで守るべきものは何なのかといった優先順位をハッキリさせておくことが大切”