口蹄疫の対策の記事などを読むと、ウイルスが入り込んだら全マシンの初期化がやはり最上の対策なんだなーなんて思います。それができないとしたらどこまで、どういうリカバリーを行うかという落としどころのシビアな見極めが必要でしょうね。警戒レベルも当分下げられないでしょう。ただ、警戒レベルを下げなかったからといって、活動を検知できるか、という問題もありますけどね。
確かに入り込まれる手段の新奇性というのは注目すべき要素でしょうけど、それよりも問題なのは、「内部のネットワークの危機が現実的になってきた」ということでしょうねえ。
これまで情報セキュリティのネットワーク関連攻撃の分野というのは、DOSとバッファオーバーフロー攻撃以外はどちらかと言えば実験室ベースのものだったと思います。難しい前提条件が多くて実現性が低いというか、確かに脅威ではあるものの、現実そういうものが自社内で起こりえるかといったらあまりそういう感じではなかったと思います。
しかしそれは、外と内の境界で脅威をほとんどドロップできていたからであって、今は境界の正面突破ではなくもっと脆弱な非専門家ユーザー＝鍵開けっ放しの裏口が狙われるようになってきたので、境界防御だけに依存できなくなってきたということなんでしょうね。そういう意味では、今更ですが全く違う考え方の「侵入検知」「怪しい行動の検出」を考える必要がありそうですね。
･･･というところは実は、専門家の間ではうっすらと考えられてきたことですが、それにしても厄介なことになってきましたねえ。