ネットワーク
ネットワーク 2021.05.29
どこから手を付ける?他社はどこまでやっている?最低限とっておきたいオフィスのセキュリティ対策とは
インターネットが企業活動に必須になってきている現在、セキュリティ対策は非常に重要ですが多くの企業では知識不足もありセキュリティが十分でないケースが多いのが実情です。この記事では企業のセキュリティ対策について解説していきます。
セキュリティ対策が必要なのはわかるが、何をどこまでやれば万全なのか
一言にセキュリティ対策と言っても幅広く、掛けられる手間やコストにも限りがあります。
ひとたび情報セキュリティ事故を起こしてしまえば、これまで積み重ねてきた信頼を失墜することになるだけではなく、損害賠償の支払いや、取引の停止、顧客の流出など、大きなダメージを受けることになります。
まずは基本的なセキュリティ対策として最低限やっておきたいレベルを知っておき、基準を満たしておきたいものです。
何から始めればわからない場合には、セキュリティ対策の第一歩として独立行政法人 情報処理推進機構(IPA)が提唱する「情報セキュリティ5か条」から始めることをおすすめします。
【情報セキュリティ5か条】
1. OSやソフトウェアは常に最新の状態に
2. ウイルス対策ソフトを導入
3. パスワードを強化
4. 共有設定を見直す
5. 脅威や攻撃の手口を知る
この「情報セキュリティ5か条」は、企業や個人などに、最低限求められる情報セキュリティ対策として位置づけられています。
5か条に挙げられている対策は、エンドユーザーの教育や運用の見直し、ソフトウェアの導入まで幅広いですが、一つひとつクリアしていくことを目指しましょう。
特にセキュリティ対策の効果が期待できるOSやソフトウェアを最新にする方法とウイルス対策ソフトの正しい導入方法についてご紹介します。
OSやソフトウェアを最新の状態にするというのは具体的にどういうことなのか
コンピューターウイルスは、WindowsなどのOSや、表計算ソフトなどのソフトウェアに隠れている、セキュリティ上の問題点を悪用して攻撃してきます。
このような問題点は脆弱性(ぜいじゃくせい)とも呼ばれています。
脆弱性が発見された場合には、すぐに問題点を修正する更新プログラムが提供されるのが通常です。
この更新プログラムを適用をしないまま放置してしまい、社内に脆弱性のあるPCが存在しているのは大きなセキュリティリスクを抱えていることになります。
Windowsの場合、更新プログラムが頻繁にWindows Updateで配信されており自動でダウンロードして最新の状態に更新される設定になっています。
そのため通常は特別な対応をしなくても適切なセキュリティ対策が行われていることになります。
ところが設定が変更されている場合やハードディスクの容量不足や更新中のネットワークエラーなどが発生した場合など、なんらかの理由でWindows Updateが正常に適用されないケースがあります。
そのため、社内にあるすべての端末について最新の更新プログラムが適用されているかを確認し適用されていない場合は手動で適用するという作業が必要になってきます。
特に持ち出し用端末など、インターネットに常時接続されていないPCや利用頻度が低いPCなどは、最新の更新プログラムが適用されていないケースが多いので注意が必要です。
また、2014年にサポートを終了したWindows XPや、同じく2017年に終了したWindows Vistaのように、すでにサポートを終了しているWindowsには更新プログラム自体が提供されません。
これらの古いOSを使い続けるのはやめて最新のWindowsへ移行する必要があります。
OS以外にもAdobe Flash Player や Adobe Reader 、Java実行環境(JRE)のように、幅広くインストールされているソフトウェアも脆弱性を攻撃されやすいため最新版に更新する必要があります。
ウイルス対策ソフトを全部のPCにインストールしていれば万全なのか
ウイルス対策ソフトは単にインストールしてあれば大丈夫というわけではありません。
コンピューターウイルスによる攻撃を検出し、駆除するのがウイルス対策ソフトの役割です。
ウイルス対策ソフトは定義ファイルやパターンファイルと呼ばれる、コンピューターウイルスの特徴が書かれているいわば辞書のようなデータを使ってコンピュータウイルスを検知しています。
そのため常に最新の情報を受信することで新しいコンピュータウイルスに対処できる仕組みになっていますので、ウイルス対策ソフトの最新の定義ファイルが自動適用されるように設定されているか確認しておきましょう。
またウイルス対策ソフトウェアを導入している企業は多いですが、PCを購入したときにインストールされていたものをそのまま利用し続けているケースが多いため、ウイルス対策ソフトのバージョンが古くなっている場合があります。
サイバー攻撃の方法は変化しており、最近ではメールを利用してID・パスワードなどの情報を盗み取る「フィッシング」や、PCをリモート操作して攻撃の踏み台として利用する「遠隔操作ウイルス」、ファイルを勝手に暗号化して身代金を要求する「ランサムウェア」など、あらたなタイプの被害が増加しています。
ウイルス対策ソフトが古いと、これらの新しいサイバー攻撃を全く検知できなかったり、検知が出来ても駆除が出来なかったりする場合があります。
つまりウイルス対策ソフトを導入していても、ソフトウェアのバージョンが古い場合には十分なセキュリティ対策をとっているとは言えないのです。
ウイルス対策ソフトを導入しているから大丈夫と安心せず、まずは現在使用しているウイルス対策ソフトウェアが最新の脅威に対応できる機能を持っているかを確認しましょう。
そして、必要に応じて最新バージョンのソフトウェアに更新することがセキュリティ対策として重要です。
もっと簡単にセキュリティ対策を行う方法はないのか
企業のセキュリティ対策でもっとも重要な点は、セキュリティの状態を正確に把握し、管理を徹底することです。
最新の更新プログラムを適用する、ウイルス対策ソフトを導入するなどは、個々のセキュリティ対策として重要ですが、これらの対策は、社内すべてのPCで徹底することがより重要です。
なぜなら、どんなにセキュリティ対策の徹底を心がけても、対策が万全でないPCが1台でも残っていれば、組織全体のセキュリティレベルが下がってしまうことになるからです。
第一歩ととして、社内で使用するセキュリティ対策ソフトウェアを一本化することが望ましいでしょう。
PCごとに使用するセキュリティ対策ソフトウェアがバラバラなままでは、管理が大変なだけではなく、セキュリティレベルを統一できません。
法人向けのウイルス対策ソフトウェアには、各PCの設定やバージョンを一括管理したり、ウイルス感染を自動で管理者に通知したりするなど、運用負荷を下げることで、専任のIT担当者がいない場合でもセキュリティを確保できる工夫がなされています。
ウイルス対策ソフトをPC購入と同時に導入し、それぞれバラバラにライセンスを更新し続けている場合は、使用するソフトウェアを一本化することで、ライセンス費用が安くなる可能性もあります。
運用が大変に思えるが、専任のIT担当者がいなくても大丈夫なのか
専任のIT担当者がいない企業では、運用負荷がどの程度かかるかは重要なポイントです。
運用負荷の低減とセキュリティ対策を両立できる解決策として、「エンドポイントセキュリティ」が提供されています。
エンドポイントセキュリティとは、PCなどネットワークの末端(エンドポイント)を幅広いサイバー攻撃から守るための総合セキュリティ対策ソフトウェアで、ウイルス対策ソフトのように、PCにインストールして利用します。
ウイルス対策はもちろん、マルウェアやスパムメール対策のほか、Webフィルタリングやデータの自動バックアップ、最新の更新プログラムが適用されているかのチェックなど、PCを安心安全に利用するために必要なセキュリティ対策が一つにまとまっているのが特徴です。
何から手を付けていいかわからない場合には、まずはエンドポイントセキュリティの導入から始めることをおすすめします。
まとめ
中小企業が参考にしたいセキュリティ対策の基準として、独立行政法人 情報処理推進機構(IPA)の「情報セキュリティ5か条」をご紹介しました。
その中でも「OSやソフトウェアを最新にする」と、「ウイルス対策ソフトを導入する」は、特に高い効果が期待できるため、優先順位を上げるべきセキュリティ対策です。
サイバー攻撃の被害が拡大する今、企業の規模にかかわらず、十分なセキュリティ対策をとることが求められています。
まずは「情報セキュリティ5か条」をすべてクリアすることからスタートして、より万全なセキュリティ対策に取り組んでいきましょう。