ネットワークに接続しているたった1台のパソコンがウイルスに感染しただけで、社内の他のパソコンやサーバに被害が拡大する可能性もあります。
感染した機器が機密情報を保有している機器であった場合、とくに企業の信用を失うことになります。
使用頻度が低くても、使用するのが社長であろうと、すべてのサーバ・パソコンにはセキュリティ対策ソフトを導入するのが当たり前です。
企業として、一元的にウイルス侵入の防御状況や感染状況などを、定期的に「把握」できるようにしておくことも対策として非常に有効です。
すべてのパソコンやサーバごとのウイルス検知用データ(シグネチャ)の更新状況や、ウイルス感染状況を管理者が一括で管理できるセキュリティソフトが登場しています。
管理画面の操作も、直感的にできるよう整理されているものもありますし、難しければ管理をサポートしてくれるサービスもありますので、活用をおすすめします。
マルウェア(ウイルス)などと呼ばれる不正なプログラムは、日々新しいものが作り出されています。
セキュリティ会社によって、新たな不正プログラムが発見されるたびに対策がされ、更新プログラムが配布されます。
この更新プログラムの適用を怠ると、脆弱性を放置することになり、そこから不正なプログラムが入り込み情報漏洩などを起こしてしまうことになります。
更新プログラムが配布されたら、すぐに適用するようにしましょう。
同様に、各種ソフトウェア(Microsoft OfficeやAdobe Acrobat Readerなど)は、開発会社によって「更新プログラム」が配布されることがあります。
この「更新」の内容は、機能の追加・修正もありますが、「脆弱性の修正」の場合も含まれています
脆弱性の修正の場合は、とくに早急にアップデートする必要があります。
脆弱性を放置していると、外部から攻撃を受けたりウイルスに感染したりする危険性があるため、インターネットに接続している機器における対策として、ソフトウェアを常に最新の状態に保つことは、基本かつ重大な措置のひとつです。
パソコンやネットワークの障害、システムの人的操作ミスなどが発生した場合でも業務にできる限り支障を与えないように、速やかに復旧ができるよう対策をしておくことも、また重要です。
その対策として効果的なのが、バックアップを取ることです。
パソコンでは、ドキュメントファイルだけでなくメールやよく利用するウェブサイトのURL(お気に入り・ブックマーク)、各種設定などもバックアップすることをおすすめします。
バックアップソフトを利用すれば、自動でバックアップを取ることができるので、利用者が操作をしない深夜や早朝などに実施するようスケジューリングすることができます。
外付けHDDなど外部記憶媒体にバックアップをとるのも簡単な方法ではありますが、データの持ち出しによる情報漏えいのリスクの可能性が高くなります。
その場合は、不要な持ち出しは禁止したり、保管場所を規定したりといった管理上のルールを徹底しましょう。
サーバやパソコンの利用者ごとに適切な権限を設定し、データや設定の変更ができるのは限られた人だけができるように設定をすべきです。
アクセス権限には、データの登録や削除の権限、読み取りの権限、プログラムの実行権限がありますが、これらを適切に振り分けましょう。
たとえば、ソフトウェアのダウンロードやアクセス権限などの設定の変更は、管理者のみに権限を与えて、一般社員などには権限を与えないようにします。
つまり、すべての利用者にすべての権限を与えるのではなく、必要最低限のアクセスを許可するのがポイントです。
上記4のように、アクセス権限に応じた個別のユーザーアカウントを発行しても、適切なパスワードでないと意味がありません。
情報資産にアクセスする可能性のあるすべての人に適切なパスワード設定と管理方法を指導しましょう。
パスワードの作り方にも注意が必要です。
類推しやすいものは避けつつ、複数のサービスで同じパスワードの使用は絶対NGです。
>>安全なパスワード
・名前等の個人情報からは推測できない
・英単語はそのまま使わない
・アルファベットと数字を混在させる
・適切な長さ
・類推できる並びや安易な組み合わせにしないこと
>>避けるべきパスワード
・自分や家族の名前
・辞書に載っているような普通の英単語
・同じ文字の繰り返しや安易な並び
・短すぎる文字列
・電話番号や郵便番号、生年月日、社員番号など他人から分かるもの
パスワードの保管については、メモをパソコンなど目に触れる場所に貼っている人も多いですが、これは絶対にNGです!
★紙に書いた場合は鍵のかかる引き出しなどにしまう
★複数のサービスで使いまわさない
パスワードの定期的な変更について、これまでは盛んに推奨されてきましたが、2017年に米国国立標準技術研究所(NIST)が「パスワードの定期的な変更はすべきではない」としました。
これを受けて日本でも内閣サイバーセキュリティセンター(NISC)から「パスワードの定期変更は必要ない」とされるようになりました。
理由は、定期的な変更をもとめられてしまうと、パスワードのつくり方がパターン化してより簡単なものになることや、同じパスワードの使いまわしをすることが問題になるからです。
定期的な変更をするよりも、利用中のサービス同士で使いまわしの無い固有の複雑なパスワードを設定するのが良いとされています。
また、パスワードだけでなく他の要素も使って認証をする、多要素認証の提供のあるサービスであれば必ず利用してさらに侵入されにくくしましょう。
最後に、「教育」も重要なセキュリティ対策のひとつです。
攻撃の手法や対策について、社員全員に説明してセキュリティ意識をもってもらう。
これだけでも、不用意に怪しいリンクをクリックすることを防いだり、情報やパスワードの安易な利用することを防いだりすることができるでしょう。
ぜひ、全社的にセキュリティ対策に取り組んでいきましょう。
インターネットによって様々なサービスや仕事が便利になっていますが、その分脅威も増し続けています。
セキュリティ対策を施したうえでインターネットを利用するのが、今や常識ですが、きちんとセキュリティ対策できていますか?
「いつも注意しながら使っているから大丈夫~」という油断は禁物です!
社内のたった1台がウイルス感染しただけで、システムの停止や情報漏洩、情報の消滅など大問題に発展してしまいます。
今回はPCでやっておくべき最低限のセキュリティ対策をご紹介します。
これらは会社で使用するPCだけでなく、プライベートで使用するPCにも当てはまることなのでぜひ参考にしてください。