パソコンのセキュリティ
重要なアプリのセキュリティ更新
ウイルスなどの不正なプログラムの実行は、Windowsの技術革新などで極めて難しくなったものの、不正なプログラムの実行を可能とする部分(脆弱性)が発見されることもあります
この脆弱性を解決するセキュリティ更新が提供されたときに、それをいち早く実施することが極めて重要な情報セキュリティ対策となり、特に以下のセキュリティ更新が重要となります
セキュリティ更新が行なわれなくなった古いアプリを利用しない
サポート期限が切れて、セキュリティ更新が行なわれなくなった古いアプリを利用し続けることは、極めて高いセキュリティリスクを抱えることとなり、御社の事業継続を困難とする原因になり得ます
サポート期限を意識した上での新しい製品への移行を計画的に進めてください
またWindowsは、メジャーバージョンアップの度により高度な脆弱性緩和技術が追加されており、できるだけ早めに新しいWindowsへ移行することも重要なセキュリティ対策となります
中小企業でのWindowsセキュリティ対策はMicrosoft Defenderがベスト
最近のWindowsは、不正なプログラムの実行を極めて困難にする高度な脆弱性緩和技術を含むセキュリティ機能が標準実装されており、メジャーバージョンアップの度にさらに強力になっています
一方で家電量販店で販売されているレベルのセキュリティアプリは、高い技術力を持っていた部門は大手企業向けの事業として買収などによる業界再編が進み、現在中小企業をターゲットとする製品のなかでMicrosoft Defenderを超える技術を持つところはないと言える状況です
また、これらが原因でパソコンが正常に動作しなくなる、起動しなくなるというトラブルを引き起こすことも少なくありません
そのため、弊社では中小企業でのWindowsセキュリティ対策としては、Microsoft Defenderの利用を強く推奨しております
現在のWindowsがどれだけ強力なセキュリティを実装しているのか、技術的に確認されたい方はマイクロソフト社のこちらのページをご確認ください
パソコン購入時の試用版セキュリティアプリが重大なセキュリティリスクに
パソコンを購入した時に、マカフィーやウイルスバスターなどセキュリティアプリの試用版が入っていることがあります
(試用版アプリを購入した場合、パソコンメーカーに紹介料が発生するため、これらが予めインストールされていることがあります)
弊社では、Microsoft Defenderの利用を推奨すること、また無料の試用期間を超えると本来の機能をせずに重大なセキュリティリスクとなり得るため、
いち早く試用版のセキュリティアプリをアンインストールし、Microsoft Defenderに切り替えることを強く推奨しております
安全性が不明なアプリをインストールしない・させない
インターネットからダウンロードできるアプリには、重要なデータを盗聴・破壊するものから、ランサムウェアのようにデータをロックして身代金を要求するなど不正な動作を行うものも少なくありません
またGoogle Chromeなど広く普及されていて信頼できるアプリであっても、本物のアプリに不正なプログラムを混ぜた改変版を再配布する悪質なサイトもあります
そのため、安全性が不明なアプリをインストールすることの危険性を周知したうえで、従業員が会社のパソコンに勝手にアプリをインストールすることを禁止するか、少なくとも安全性が検証されるMicrosoft Storeからのインストールや、安全なダウンロード先を記載したリストからのダウンロードに限定するなどの取り組みを行うことを推奨します
パスワードを使い回さず、多要素認証は必ず設定する
複数の機器やサービスで同じパスワードを使った場合、どれか1つで情報が流出すると、他でも不正アクセスが行われる危険性が極めて高くなります
そのため、それぞれの機器やサービスごとに独自のパスワードを設定することが重要ですが、いくつものパスワードを覚えるのは無理なので、パスワードを管理して入力補助もしてくれるパスワードマネージャーを活用しましょう
パスワードマネージャーによっては、ダークウェブに流出した不正利用される可能性が高いパスワードをチェックして警告する機能もあるため、より安全なパスワード管理を行えます
また、銀行のワンタイムパスワードのような多要素認証を利用できるものについては、それを活用しましょう
万一パスワードが流出しても、第三者による不正利用を防ぐことができます
推奨するパスワードマネージャー
- Microsoft Edge パスワード管理機能
- Microsoft 365と併用して、職場プロファイルで組織として管理
- Google Chrome パスワード管理機能
- Google WorkSpaceと併用して、職場プロファイルで組織として管理
- 1Password ビジネスプラン
社内ネットワークのセキュリティ
UTMなどのセキュリティ機器を安易に導入しない
UTMなどのセキュリティ機器を提案されることも多いかと思いますが、中小企業向け事業では、深刻な知識不足により不適切な形で導入されることが大半で、むしろ何もしなかった方が安全だったというケースが目立ちます
例えば、FortiGateなどのUTMの設定不備が原因でランサムウェアに感染したという事例が国内で数多く発生しています
大手企業による導入であっても、VPN機能を安全に利用するための設定がされていない、暗号化通信に対してセキュリティ機能を適用する設定(SSLインスペクション)が設定されておらず、そもそも実質的にセキュリティ機器として動作していないのに、リース料だけ払っているというケースがほとんどです
極めて強力なセキュリティを持つクラウドサービスを活用
生産性を高めるだけでなく、極めて強力なセキュリティにより、メールの送受信からデータ保管までを保護できるMicrosoft 365やGoogle Workspaceなどのクラウドサービスを活用することを推奨しております
弊社では、これらのクラウドサービスをより安全に利用するための高度なセキュリティ設定と監視及び管理(MDM・MAMなどのデバイス管理・不正アクセスの監視・シャドーITの検出と管理など)を行い、お客様の情報セキュリティ対策をより高いレベルで保護します
中小企業でのセキュリティ教育
セキュリティ教育・研修の実施
情報セキュリティについて、日常業務における様々な危険やそのリスクを回避・軽減するための取り組みを知ることはとても重要です
独立行政法人情報処理推進機構(IPA)が、中小企業におけるセキュリティの取り組みについて様々な情報を提供しており、活用できます
特に、中小企業でのセキュリティ教育・研修を進めるうえでわかりやすく参考になるものとして、以下の2つのページをご紹介します
従業員が個人所有しているパソコンも、仕事で利用するなら対策が必要
自宅にある従業員が個人所有しているパソコンであっても、テレワークで会社のシステムに接続する、または会社のデータを取り扱うことがあるのなら、そのようなケースへの対策も重要で、個人所有のパソコンでも適切なセキュリティ更新を行うことを周知してください
マンガや映画・アニメなどの著作物を権利者の許可なく違法に公開しているサイトがあり、このようなサイトを従業員が利用することも少なくありません
このようなサイトは、広告収益を目的とするだけでなく、ランサムウェアなどの不正なプログラムに感染させることを目的とした危険なサイトも多く、特にWindowsやブラウザのセキュリティ更新を怠っている状態でアクセスすると、不正なプログラムに感染する確率は高くなります
このような違法サイトの危険性を周知したとしても、本来お金を払って利用するべきものを無料で何とかしようとするケースはゼロにはできないため、福利厚生で動画の見放題サービスを提供するなどの取り組みも、現実的なセキュリティ対策としては有効な手段となります