#109. 手順の策定よりもEDRの導入を
一昔前、業務用PCをイーサネットケーブルを介して社内LANへ接続していた頃、「PCがウイルスに感染したら当該LANケーブルを引抜く」ことを指示していました。では、テレワーク中の社員がPCをVPN経由で自社内環境へ接続している際にマルウェア感染した場合にはどうしたら良いでしょうか? という質問です。
メンターの多くはEDRの導入を進めています。u/xCryptoPandax氏の言うようにCrowdStrikeやCarbon Blackには、当該PCを「bricked」する機能があります。文鎮にするという意味らしいです。
わたくしがテレワーク中、かつ孤立無援環境でRPA(Bizroboなる、どマイナーなやつ)を触っていたときのことです。カウンターパートの方がGGRKSを言う人であったため、やむなくインターネットを調べながら進めていたところ、リモート・ブラウザー・アイソレーションの状態になりました。Bizorboはインターネット接続環境でライセンス認証をするシステムであったため作業が止まってしまい、翌日出社しました。コロナで社内がロックダウン中であり、親会社の情報システム部員は若い太った人が一人、居ました。その方は事情を既に知っていたようで、眼を吊り上げながら、
「あなたは改ざんされたサイトを見たのだ。だからリモートアイソレーションが発生した。そのログ(!)に基づいて解除するのだが、そのログが見つからず、いま探しているところだ」
と宣いました。
わたくしは釈然としなかったが、黙っているしか方法がありませんでした。
翌日、やっと解除されました。前日とは異なる情報システム部員が出社して居り、にやにや笑いながら、
「納品先でこのような事態に陥ったら、どうするのだろうね」
と言ったのを覚えています(要するにバグ、不具合である、という意味)。