先日、Ars Technicaで気になる記事を読みました。Creative社のSound Blaster Katana V2Xというスピーカーが、無線経由でハッキングされ、接続しているデバイスに感染を広げられる可能性があるというものです。
しかもメーカー側は「脆弱性とは考えていない」という立場をとっているとのこと。
これを読んで、正直ぞっとしました。
理由はシンプルで、うちの会議室にも似たようなスピーカーが何台も置いてあるからです。
製造現場の打ち合わせスペースや、営業部門のミーティングルームも含めると、全社で100室以上はあるはずです。
そういった場所に置いてあるスピーカーを、ITセキュリティの管理台帳に登録しているケースはほぼないのではないか。
そんな疑念が頭をよぎりました。
私が担当するのは営業DX推進ですが、部内でも会議のたびにBluetoothスピーカーやディスプレイ接続のサウンドバーを使っています。
部下の一人が「使いやすいから」と持ち込んだ市販スピーカーが、いつの間にか共用機材として定着しているケースも見てきました。
こういう「なんとなく使っている機器」が、実はネットワークへの入口になっているかもしれないという発想は、正直これまで薄かったと思います。
うちの会社にはIT調達の際にセキュリティ審査を通す仕組みがあります。
PC、スマートフォン、クラウドサービスはしっかり審査対象です。
ただ、会議室の備品として購入されるスピーカーや、部門予算で購入される周辺機器は、審査のフローに乗ってこないことが多い。
経理的には「消耗品」や「備品」として処理され、IT部門のレーダーに引っかからないまま社内ネットワークに繋がっています。
Sound Blaster Katana V2Xのような製品は、高評価を受けた市販品です。
「ちゃんとしたメーカーの製品だから大丈夫」という心理的な安心感がある分、むしろ見落とされやすいとも言えます。
IT部門から見ると管理外、購入した部門から見ると「音がいいスピーカー」というだけの位置づけ。
この認識のズレが、セキュリティ上の穴になりうるわけです。
来季の予算申請で、IoT機器の台帳整備と定期棚卸を提案しようと考えています。
ただ、「セキュリティが心配だから」という説明だけでは、経営陣にはなかなか刺さりません。
投資対効果が見えにくいコスト項目として扱われてしまうのが毎度の課題です。
そこで今回の記事のような具体的な事例は、説明の補強材料として使えます。
「海外のメーカー自身が脆弱性と認めていない製品が、実際に攻撃経路として使われうる」という事実は、抽象的なリスク説明より伝わりやすいはずです。
経営陣は概念より事例に反応することが多いので、こういうニュースを手元に置いておく習慣はやめられません。
もう一つ考えているのは、まず自部門で小さく動いてみることです。
営業DX推進部の会議室に限定して、接続機器の棚卸を試験的にやってみる。
部下に実際に動いてもらって、どんな機器が繋がっているかをリスト化する。
そのうえで「こういう機器が○台あった、そのうちファームウェア更新が止まっているものが△台あった」という数字を持って稟議に臨む。
そのほうが、概念的なセキュリティの話より説得力が増します。
セキュリティ対策は、大きな投資案件でなくても、こういう地道な棚卸作業から始まることが多いと個人的には感じています。
部下25名を抱えていると、動かすための根拠と手順を整えることが私の仕事の大半です。
「なんとなく気になった」では動いてもらえないので、記事を印刷して共有するところから始めようと思っています。
Sound Blaster Katana V2Xの件が象徴しているのは、メーカーが安全と言っていても社内環境ではリスクになりうるという現実です。
ベンダーの立場と、自社のセキュリティ要件は、必ずしも一致しない。
その前提で機器を選定・管理しないといけないと、改めて感じた次第です。
あなたの会社では、会議室の備品がIT管理台帳に載っていますか。
しかもメーカー側は「脆弱性とは考えていない」という立場をとっているとのこと。
これを読んで、正直ぞっとしました。
理由はシンプルで、うちの会議室にも似たようなスピーカーが何台も置いてあるからです。
製造現場の打ち合わせスペースや、営業部門のミーティングルームも含めると、全社で100室以上はあるはずです。
そういった場所に置いてあるスピーカーを、ITセキュリティの管理台帳に登録しているケースはほぼないのではないか。
そんな疑念が頭をよぎりました。
私が担当するのは営業DX推進ですが、部内でも会議のたびにBluetoothスピーカーやディスプレイ接続のサウンドバーを使っています。
部下の一人が「使いやすいから」と持ち込んだ市販スピーカーが、いつの間にか共用機材として定着しているケースも見てきました。
こういう「なんとなく使っている機器」が、実はネットワークへの入口になっているかもしれないという発想は、正直これまで薄かったと思います。
IoT機器はセキュリティ審査の「対象外」になりがち
うちの会社にはIT調達の際にセキュリティ審査を通す仕組みがあります。
PC、スマートフォン、クラウドサービスはしっかり審査対象です。
ただ、会議室の備品として購入されるスピーカーや、部門予算で購入される周辺機器は、審査のフローに乗ってこないことが多い。
経理的には「消耗品」や「備品」として処理され、IT部門のレーダーに引っかからないまま社内ネットワークに繋がっています。
Sound Blaster Katana V2Xのような製品は、高評価を受けた市販品です。
「ちゃんとしたメーカーの製品だから大丈夫」という心理的な安心感がある分、むしろ見落とされやすいとも言えます。
IT部門から見ると管理外、購入した部門から見ると「音がいいスピーカー」というだけの位置づけ。
この認識のズレが、セキュリティ上の穴になりうるわけです。
経営陣への説明材料として使えるかもしれない
来季の予算申請で、IoT機器の台帳整備と定期棚卸を提案しようと考えています。
ただ、「セキュリティが心配だから」という説明だけでは、経営陣にはなかなか刺さりません。
投資対効果が見えにくいコスト項目として扱われてしまうのが毎度の課題です。
そこで今回の記事のような具体的な事例は、説明の補強材料として使えます。
「海外のメーカー自身が脆弱性と認めていない製品が、実際に攻撃経路として使われうる」という事実は、抽象的なリスク説明より伝わりやすいはずです。
経営陣は概念より事例に反応することが多いので、こういうニュースを手元に置いておく習慣はやめられません。
もう一つ考えているのは、まず自部門で小さく動いてみることです。
営業DX推進部の会議室に限定して、接続機器の棚卸を試験的にやってみる。
部下に実際に動いてもらって、どんな機器が繋がっているかをリスト化する。
そのうえで「こういう機器が○台あった、そのうちファームウェア更新が止まっているものが△台あった」という数字を持って稟議に臨む。
そのほうが、概念的なセキュリティの話より説得力が増します。
「管理されていない機器」の棚卸を動かす
セキュリティ対策は、大きな投資案件でなくても、こういう地道な棚卸作業から始まることが多いと個人的には感じています。
部下25名を抱えていると、動かすための根拠と手順を整えることが私の仕事の大半です。
「なんとなく気になった」では動いてもらえないので、記事を印刷して共有するところから始めようと思っています。
Sound Blaster Katana V2Xの件が象徴しているのは、メーカーが安全と言っていても社内環境ではリスクになりうるという現実です。
ベンダーの立場と、自社のセキュリティ要件は、必ずしも一致しない。
その前提で機器を選定・管理しないといけないと、改めて感じた次第です。
あなたの会社では、会議室の備品がIT管理台帳に載っていますか。