アサヒビール｢形だけのセキュリティ対策｣が招いた大混乱､"基本のキ"でつまずき大規模な障害に…サイバー攻撃から2カ月何が間違っていたのか

コンテンツブロックが有効であることを検知しました。 このサイトを利用するには、コンテンツブロック機能（広告ブロック機能を持つ拡張機能等）を無効にしてページを再読み込みしてください。 なお、Microsoft Edgeをご利用のお客様はプライバシー設定が影響している可能性があるため「追跡防止を有効にする」の設定を「バランス（推奨）」にしてご利用をお願いいたします。詳細は下記のFAQページをご参照ください。 https://help.toyokeizai.net/hc/ja/articles/33846290888345 ✕

[flirt774]

セキュリティが一番弱いところを狙われるという話はいつの時代でも有効で、対策の底上げと被害後の対応を用意すべきという話だけど、出来てる会社ほど評価されないのはインフラ整備と同じ問題

[otoku-memo]

別DCにバックアップあるだけでも上出来だと思ったけどな。これできてない会社ゴロゴロあるでしょ。

[n_y_a_n_t_a]

タイトルは釣り。セキュリティは 基本の徹底が一番難しい。とにかく工数がかかる。手間もかかる。これは人間に存在する脆弱性と言ってもいい。だから高価な機器に頼る。けどそれにも脆弱性……以下ループ

[nemoba]

記事の丁寧な中身とタイトルの煽りの温度感で風邪ひきそう。書いた人別の会社行ったほうがいよ。

[andalusia]

標的型じゃなくてVPN箱の脆弱性なんだから「狙われるか狙われないかだけの差」じゃないよ。まあ、こういう大企業だとそんな箱を置きっぱにする社員やベンダーが確率的に発生する(ある程度は運)というのは正しいかも。

[nui81]

アサヒはほんと気の毒だけどすごくいい記事。対応もお手本通りだし、ここまでできる企業でも「あるある」な穴があってそこを突かれるとか。基本のキを抜けなく守り続けるのには地道な努力とコストがかかり続ける。

[tpircs]

記事書いた人からすると気分の悪いタイトルだろうなぁ。同じ人が書いたとは到底思えないし。一番重要な主張はサイバー攻撃を完全に防ぐことは不可能でそれの対応まで考えること、といってるのになぁ。

[sun330]

形だけではないしやってることに意味はあるだろうに。結局狙われるか狙われないかの差でしかないと思う。防御は必要だが復旧訓練したほうがいい気がする。あとは日本企業は金を払わないを徹底した方がいいと思う。

[magi00]

言うのは簡単なんだよね。大企業でも防げないランサムウェア攻撃はデジタル災害として被害にあう前提でBPC対策が必要だけど、そもそも最低限の防御も出来てない中でどこまでできるのか

[mory2080]

"Qilin(キリン)" アサヒがターゲットにされた理由に全く関係ないんだろうか、この名前。

[quabbin]

大量のEDRのデータから、問題が発生してないかをちゃんと把握するのは…かなり難しいよなって。ほんと。

[yarumato]

“交渉せず・払わず、は妥当な判断。身代金を支払っても、データは安全に戻らない、盗難データも削除されない。サイバー攻撃を完全防御は不可能。重要なのは、被害を最小化させての、復旧力（レジリエンス）”

[takeishi]

見出し書いている奴が情報セキュリティの基本のキを頭に入っているか怪しいと感じるが／現代のランサムウェアは侵入の完全阻止は無理だろ。アサヒキリンサントリーサッポロがみんなやられたら世間も理解するかな

[ot2sy39]

みんなタイトルはともかく文章は評価してるようだが、個人的には微妙だと思ったがな。言うのは簡単だよなと思うし、所々本当か？と思うところもある。

[Ashburton]

セキュリティ対策するにはめちゃくちゃコストが掛かることを認識すべき。自社データセンターなんて相当優秀な人材がいて、莫大な資金をかけないと持っちゃダメだよ

[beerbeerkun]

「VPN機器の既知の脆弱性管理やパスワード運用の徹底、EDRを実際に機能させる運用体制という「基本のキ」でつまずき、結果として大規模な障害に至ってしまった。」これを基本のキと言われてもな。

[medihen]

"VPN機器の既知の脆弱性管理やパスワード運用の徹底、EDRを実際に機能させる運用体制という「基本のキ」でつまずき", "「従業員のPC端末内に保存されていた個人情報も含まれていた」と説明"

[Baybridge]

「バックアップをこまめに取って、攻撃者には安易に金は払わず自力復旧を目指す」のが最適解なんかね？

[adliblogger]

下品な煽りタイトルですこと

[Yagokoro]

もう侵入されるのは、ある程度前提にせざるを得ない

[aya_momo]

交渉していなくてもこれだけ被害が大きいのが分かると加害者の利益になりそう。

[lifeisadog]

こんなの攻撃側が常に有利なのでどんな完璧な対策しても結果的に攻撃されちゃったら「形だけの対策」になるよ／なので個人的にはクリティカルな情報以外の個人情報はもはや秘匿情報ではないと思ってる

[WildWideWeb]

釣りタイトルつけた編集者はPV稼いでさぞ気持ちよかろう。災害に備えてそれなりに準備してたのに別の想定外があって悔しくて歯噛みしてる人たちが、外から「形だけの対策」と言われた時の気持ち考えろ的な気分。

[ringopower]

金のかかる保守契約を言い出すと怒られるんだろうね…俺の退職金を減らすつもりか！って

[ogawat1968]

"身代金を支払っても、データが完全に戻る保証はありませんし、盗まれたデータが「確実に消される」保証もありません。むしろ…再標的化されるリスクのほうが高いでしょう。"

[inmysoul]

とにかくコストがかかりすぎる上にワンミスで全て終わるのがセキュリティ。さらになぜか加害者は責められず被害者が叩かれると言う地獄。

[Goldenduck]

タイトルつけてる人は別なのだろうなあ。基本は著者が書くが修正されるのかもしれない

[napsucks]

ゼロトラストでもやられたというのはかなり衝撃的であり結局はセグメンテーションを増やして手間かけさせる以外にないのかと思わせるな

[Rambutan]

VPNを悪者にするのは簡単だけどさ、VPNで入られた先のシステムがどれも認証認可が適切ではなくザルだから侵害されるんでしょ？それを真面目にやろうと言うのがゼロトラストでしょうが

[ntdtks]

ゼロトラスト流行ってるけど、事例で「telnetで各機器に入りスクリプトで悪さをする」とか「既存のBitLを使って暗号化」でランサムexeを持ち込まない手口も知られているのに、EDRは防護検知できるのかな。

[iiyo44]

セキュリティは、どの程度で良しとするか程度の問題。お金と手間、運用コストは際限なくかけられるが、どのレベルなら安全なのか、RTOがどの程度なら受け入れられるか、見極め必要だし、かける費用によるからね。

[hkanemat]

”「ツールを導入していること」と「それが日々きちんと機能していること」のあいだに大きなギャップがありうる”

[gurukuchi]

エンジニアに権限をわたさず、エンジニア単価が低い会社は、技術思考がよわい。根っこには技術軽視がある

[arkpn4]

東洋経済らしい煽りタイトル以外は素晴らしい記事

[labor9]

人間の悪意を完全に除去することはできない⇒ディストピア社会で常時監視される未来しか見えない。そうなると究極のノーガード・オールオープン社会が実現するな。

[daishi_n]

本文は適切だと思うけどなあ。

[njamota]

犯罪がなければこんなことにこれだけの労力を払う必要もないのに、なんでこんなことになってるんだろうな。おいしいビールを飲みたいだけなのにな。

[aomvce]

Microsoft Azure使ってるからでは。だいたいAzure使ってる会社がヤラらてる...

[kshtn]

バックアップでデータは戻るけど、請求済が未請求に戻ったり、社内よりも対外的なところで厄介なことが起きる。ここまで設計してる会社もあるんだろうけど、自社で完結しないから難しいよね