情報セキュリティー対策には「これで万全」と言えるものがない。攻撃者の手口は巧妙化し、絶えず進化しているからだ。かつて攻撃者の力を誇示する「愉快犯」的な攻撃が目立っていたが、近年は機密情報や金銭の窃取を目的に標的型攻撃メールを仕掛けるなど犯行の動機も変化している。
最低限必要な5つのセキュリティー対策
企業が講じるべき情報セキュリティー対策の「基本」を紹介しよう。
(1)「ソフトウエアの更新」
攻撃者はパソコンにインストールされたソフトウエアの脆弱性を突いて攻撃を仕掛ける。よって、ソフトウエア会社などから提供される修正プログラム(セキュリティーパッチ)を常に更新する。
(2)「ウイルス対策ソフトの導入・更新」
社内のパソコン、システムのウイルス感染を防ぐため、対策ソフトの導入と定義ファイルの更新が不可欠になる。
(3)「パソコン、社内システムへログインするパスワード・認証の強化」
従業員のパスワードが盗まれると、社内システムに不正侵入されるリスクがある。不正侵入を防止するため、推測されにくいパスワードの設定や、アクセスする度に1回限りのパスワード(ワンタイムパスワード)の利用、電子証明書の使用など、複数の認証方法を組み合わせる多要素認証方式を活用する。
(4)「パソコンやサーバーの設定の見直し」
従業員が利用する共有フォルダは部署や役職などに応じてアクセス権限を適正に設定し、異動・退職する社員のユーザーアカウント(ID・パスワード)は確実に抹消する。
(5)「脅威・手口を知る」
最新の脅威、攻撃者の手口、その対策を知り、被害の予防につなげる。
これらの「基本」は、企業活動に最低限必要な取り組みである。自動車運転にたとえれば、「交通ルールを守る」「シートベルトを着用する」といったレベルのものであり、セキュリティー対策の「十分条件」ではないことを理解したい。そして、経営者は「自社の情報は常に脅威にさらされている」との認識に立ち、どのように守るのかを考え、社内に対策を徹底することが重要だ。
一元管理をしなければリスクすら分からない…
セキュリティー対策の条件は桶に置き換えると分かりやすい。どんなに強固な桶(=組織)でもたった1カ所でも穴(=ぜい弱箇所)があれば、そこから水が漏れてしまう。セキュリティーレベルの最も低いところが、全体のセキュリティーレベルとなるわけだ。つまり、統括的な視点で最も弱い部分を見つけ、対策を行わなくてはならない。
その対策の1つがパソコンなどのIT資産の一元管理だ。これができていなければ、どこがリスクにさらされているかさえ分からない。IT資産の管理を全事業所で一括して行うのは、絶対条件だと言っても過言ではない。
いくら本社でセキュリティー対策を強化しても、他拠点のオフィスにセキュリティー上の弱点(セキュリティーホール)があれば、そこからウイルス感染したり不正侵入されたりする恐れがあるからだ。
IT資産の一元管理を行う場合、資産管理ソフトを導入するのが手っ取り早い。他拠点を含め、全事業所のパソコンや、インストールされたソフトウエアなどのIT資産を管理するサービスもある。Sky社の「SKYSEA Client View」やクオリティソフト社の「QND」など、どれを選べばよいか分からないほど多種多様な製品がある。専任のIT担当者やセキュリティー担当者を配置しにくい中堅・中小企業にとって、IT資産管理ソフトを導入しても、使いこなせないなら宝の持ち腐れとなってしまう。選択のポイントは、サポートがどれだけしっかりしているかということだろう。
例えば、NTT西日本の「オフィス安心パック」※1でのIT資産の一元管理方法を見てみよう。オフィス安心パックの「IT管理サポート(NMS)」※2では、IT資産の管理を実施。専用のIT管理サポートツールを用いて事業所内のパソコンやビジネスフォンなどのオフィス機器、ソフトウエアなどの情報を自動収集し、最大20拠点までの一元管理が可能だ。パソコンの償却期間など情報の登録・管理が行え、資産の有効活用に役立てられる。
また、セキュリティーの設定・管理をサポートし、本社から他拠点のネットワークに接続されているパソコンのセキュリティーポリシーを一括して設定・管理することができる。USBメモリーを利用不可にしたり、利用禁止ソフトを指定できたりするなど、他拠点のニーズに応じた個別のカスタマイズも可能だ。このIT管理サポートはクラウド型サービスとして提供され、サーバーの構築費や保守費は発生しないという。
このほか、ウイルスや不正アクセス、迷惑メールなどの脅威からパソコンやAndroid端末を保護するセキュリティー対策ツールを2台以上で利用できる「セキュリティ機能ライセンス・プラス」※3や、パソコンを遠隔操作する不正プログラムなど外部への不審な挙動を監視・制限する「セキュリティ機能見張り番」※4のサービスを用意している。
相談窓口があるかどうかも重要
オフィスのIT利用に関わる相談窓口を外部に任せることにより、ITの利活用とセキュリティー対策の強化を促進できるだろう。さらにオフィス安心パックでは、パソコンや周辺機器などの困り事に対しても、専門オペレーターが電話で応対する「電話サポート」をはじめ、オペレーターが利用者と同じ画面を見ながら電話と遠隔操作でサポートする「リモートサポート」がある。また、オフィス安心パックを契約すると、インターネットの接続やスマートフォンの設定などの訪問サポートを受けられる「オフィス訪問サポートサービス」の利用料が減額にもなる。
企業を取り巻く情報セキュリティーリスクは日々高まっており、人ごとではない。情報漏えいなどセキュリティーの事故・事件を引き起こしてからでは手遅れになる。「転ばぬ先のつえ」ではないが、早めの対策は経営者の責務である。
※1 オフィス安心パックの利用には、フレッツ 光ネクストなどプロバイダーの契約・料金が必要
※2 「IT管理サポート(NMS)」はオフィス安心パックのオプションメニュー。パソコンなどのネットワーク環境がフレッツ光などで構成されている必要がある
※3・※4 ご利用のパソコンまたはAndroid端末環境(OS等)やソフト等との相性により本機能が正常に動作しない場合がある。セキュリティに対する全ての脅威への対応を保証するものではない。
※掲載している情報は、記事執筆時点のものです
