中小企業においてセキュリティ対策はどこまでやれば良いのか?

製造業経営者109人に調査!自社で行うPCのセキュリティ対策に「どこまですれば十分な対策と言えるのかわからない」の声75.6%
https://prtimes.jp/main/html/rd/p/000000053.000017714.html

このリリース自体は、自社製品(サービス)を売り込むための情報の羅列なのですが、

「どこまですれば十分な対策と言えるのかわからない」

https://prtimes.jp/main/html/rd/p/000000053.000017714.html

これは当を得ているな。と思ったので、どこまでやれば良いのか考えてみることにしました。

最初に理解すべきこと

セキュリティは生き物

セキュリティだけではないですが、特に、セキュリティにおいては過去の常識は現在の非常識になっていることもあります。
絶対にやってはいけないのは「過去、こうだったから、(現状をよく考えずに)今も同じ対応をしている。」です。
常に現状を考え臨機応変に対応していくことが求められます。

社員はみんな信用できる!なんてことは無い

闇雲に、社員を疑え!ということではありません。無意識、意識的に関わらず、身内(社員)が起因してセキュリティが担保できない事象が多々発生しています。
いわゆる、フィッシング詐欺による情報漏洩は、社員は情報を漏らしている意識がまったくない状態で発生しています。

社員を疑う必要ある=社内も危険な可能性がある

「社内は安全」という神話は、もう何年も前に崩れています。ファイアーウォールの内側だから安全ではありません。社内でもセキュリティ的に危険な状態にあるということは理解しておきましょう。

実施すべきセキュリティ施策

以下の様なことを実施しておけば最低限セキュリティ対策が完了

  • アンチウイルス導入と管理
  • 単一の認証基盤の導入と多要素認証
  • アプリケーションの全クラウド化
  • サポート切れOS、アプリケーション利用不可
  • ファイアーウォール
  • PCデバイス管理

その1 適度なアンチウィルスソフトウェアの導入と管理

セキュリティ対策で真っ先に思いつくのは、アンチウィルスソフトウェアの導入だと思います。20世紀のセキュリティ対策といえば、アンチウィルスソフトウェアを導入することと等しかったですし、現状でも、アンチウィルスソフトウェアは必要です。

しかし、アンチウィルスソフトウェアの過信は絶対にダメです。というのも、最新のウィルスについては、どのメーカーのソフトウェアを使っても発見できないと思って間違いないです。高い発見率、例えば、「ウィルスの99.9%のウィルスを発見」みたいなことを謳っているメーカーもありますが、過去ン十年間にリリースされたウィルスがすべて母数にカウントされていますので、最新のウィルスを発見できなくても、高い発見率は当たりまえなのです。とはいえ、古いウィルスに対しては、一定の効果があるので、最新のウィルス発見ができないからといって導入しない理由にはなりません。

Windowsであれば、OS標準のアンチウィルスソフトでまったく問題ありません。有償製品を別途導入する必要はありません(きっぱり)。また、アンチウィルスソフトウェアを導入しているだけでは不十分で、適切に定義ファイルの更新が実施されているか?が重要です。普通に使っていれば、適宜更新されるので問題ありません。情報システム部門としては、更新されているか?を監視しておくことは必要になります。

Macの場合は、デファクト、いわゆる事実上標準のアンチウィルスソフトウェアがありませんので、なんらかのアンチウィルスソフトウェアを入手し、Windows同様、適宜更新されるような設定を維持することがです。

その2 安全性の高い企業内唯一(単一)の認証基盤の整備

認証基盤は、利用者を特定し「なりすまし」をさせない技術です。シンプルにいえば、IDとパスワードということになります。10年前くらいまでは、「利用者を特定する手段≒ID・パスワード」だったかもしれません。利用者を特定し、なりすましを防止する手段は、パスワードを複雑にするといった原始的な手段をとることが多かったですが、ここ数年は、多要素認証の導入が進み、パスワードの複雑さはあまり求められなくなりました。蛇足ですが、定期的なパスワードの変更はセキュリティリスクを低減しないどころか、セキュリティリスクを増やす原因になるので、そういった制限は今すぐにでもやめたほうが良いです。

認証基盤で、大事なのは「企業内唯一」であることです。アプリケーション毎に認証基盤を用意する、つまりは、アプリケーション毎に異なったID・パスワードを使うという状況は絶対に避けなければなりません。
とはいえ、すでに、複数のID・パスワードをつかっているということもあるでしょう。その場合は、将来的に(できれば1年以内に)統合することを計画します。統合できそうにないアプリケーションがある場合は、統合できるアプリケーションへの移行を計画します。

その2.5 多要素認証の導入

その2の認証基盤でも記しましたが、多要素認証の導入は必須です。仮に複数の認証基盤を使っている場合は、すべての認証基盤で、多要素認証を導入してください。多要素認証はオプションではなく必須に設定します。

その3 すべてのアプリケーション・サービスのクラウド移行、認証基盤との連携

社内最初に理解すべきことで記した通り、社内だから安全というわけではないご時世ですので、クラウドだから危険ということはありません(クラウドだから安全ということもないですが)。逆に、社内でデータをおいておく(=保存)することにより、確実に、認証基盤と連携した保存、つまりは、ただしいアクセス権での管理ができるようになります。

その4 サポート切れOS、アプリケーション利用不可

すべてのアプリケーション・サービスのクラウド化と書きましたが、社内アプリケーションも、認証基盤と連携すれば、社内に残しておいてもよいですが、相当、困難と思われますし、社内アプリケーションの場合、OS等がサポート切れしないようにします。
常に、利用中のOS・アプリケーションのサポート切れを意識し、サポート切れ1年前には、そのOS・アプリケーションの更新を実施することを推奨します。

その5 ファイアーウォール

クラウド利用には、インターネットへの接続が必要で、当然ながら、ファイアーウォールを導入することになりますが、高機能である必要は全くありません。

その6 クライアントPCの管理

多くの企業は、スマートフォンはMDM(モバイルデバイス管理)ツールを導入して管理しようとしているのに、PCをデバイス管理しない企業は少なくないです。スマートフォン同様、PCのストレージ暗号化、リモートワイプ、アンチウィルス定義ファイルの強制更新、OSの強制アップデート、インストールされているアプリケーションの監視、などPC管理ができるツールの導入が必要です。

その7セキュリティ責任者(部門)の配置と社員のセキュリティ教育

たとえば、PCやスマートフォンをタクシーに置き忘れて紛失してしまう等々も含めれば、規模はどうあれ、セキュリティリスクは必ず発生します。そういった状況で最大の問題は、そのセキュリティリスクを、各個人が報告しないことです。誰にどのような方法で報告するのか?を定義されていない企業も多々あります。まずは、セキュリティ問題が発生したときに報告する先(人・部門)を定義することと、必ず報告することを義務づけることです。そのためには、最低限のセキュリティ知識を最低年1回、非正規雇用者も含め、全社員に教育すべきです。内容は、流行廃りがあるので、都度考慮が必要ですが、正しく認証基盤を利用する、必要最低限のアクセス権利を付与する、等等の教育が必要です。