すみません。資格試験とは関係ない質問かもしれません。ランサムウェア攻撃が毎日のように報道されています。JIS Q 31000:2010ではリスクアセスメントをリスクの特定、分析、評価という風に進めていくとありますが今般のランサムについて侵入を許してしまっている問題について特にネットワーク越しに侵入してくるリスクに対して皆さんはどのようにリスク評価していますか？
具体的に申し上げますとF社FWのSSL VPNに対してヒープメモリバッファオーバーフロー攻撃が顕著なのではないかと感じています。CVEも多く、CVSSも高いです。これに対してファーム対応は当然としつつもゼロデイ攻撃に対してSSL VPNを利用しないという選択肢は当然あると思います。にも関わらず多くのしかも優秀な情報システム部門を有し潤沢な予算をもつ大企業ですら同様の手口で被害にあっている。メールやUSBなどの従業員リテラシーリスクは考えずネットワーク越しのリスクに絞った場合、完全にポリシーで拒否しても突破してくるリスクはあるのでしょうか？私の会社のFWで考えますとFWの動作はcornNATで動作しています。内側に内通者がいなくとも外側からNAT-トラバーサルをTCPで仕掛ければタイミングによっては応答する可能性はあるのではないかと不安な気持ちがあります。これは考えすぎでしょうか？FW越しのみを考えて場合の皆様のご見解をご教示ください。