4th
実際にはこんな実態があることが多いのです。
* Microsoft製品のパッチは、すぐにはあてられない
* Windows XP SP2で運用している
* IEは6しか使えない
* Firefoxの利用などは把握できていない
* Adobe製品の最新版の適用は「通達」で行い「確認書」で確認する
* ADOBE READERのJavaScriptの無効化は「通達」で行い「確認書」で確認する
* JREの最新版を適用することは業務アプリケーションとの兼ね合いがあるのですぐには無理
* この対策に特別な予算は使えない
つまり「言い訳」がとても多く、これでは「いつやられても不思議ではありませんね」とアドバイスしています。ガンブラーがこれだけ猛威を振るっていて、しかも収束の目処がたっていないのは対策が進んでいないからに他なりません。
正確には、対策したことになっているが対策になっていない、ということなのです。先日も「ガブられた」(ガンブラーにやられた)会社に行きましたが、やはりIE6+Windows XP SP2の環境で、上記のような「業務遂行を優先したセキュリティ対策の妥協」が行われていました。
加えて、FirefoxなどIE以外のWebブラウザーの利用の実態が把握されていませんでした。
このように対策が徹底できないことが分かっているのであれば、それは「対策できていない」ということであり「いつでもやられる」という前提を受け入れる必要があります。そうであれば対策としては「Webサイトの閲覧やメールの送受信は業務PCでは行わない」が正しいのです。
「そんなことしたら仕事にならない!」といわれると思いますが、それこそがガブられる根源なのです。
