少人数の情シスが押さえておきたいセキュリティ対策

情報流出などのサイバー攻撃による被害ニュースが取り上げられる機会が増えています。国内の多くの企業でセキュリティ研修が行われたり、新たな法律ができたりするなど、セキュリティの重要性が増しています。しかし、企業の情報システム部をたった一人や数人に任せるケースが増えているように、人手不足が深刻な課題となっています。このような状況でも、すぐに取り組むことができるセキュリティ対策をご紹介します。

顧客名簿の入ったカバンの紛失や、添付ファイルがあるメールを開封してパソコンがウイルスに感染し清報が流出するなど、セキュリティに関する事件や事故がテレビや新聞で大きく報じられるようになりました。

セキュリティニュースの増加の背景には、サイバー犯罪の増加があるように思えます。ではなぜサイバー犯罪が増加したのでしょうか？以前は自分の能力の誇示やイタズラ目的がほとんどでしたが、近頃は金銭目的が理由の1つと考えられます

日本では、こうした犯罪への刑罰化が進んでいます。情報を流出させた場合、自身のみではなく顧客や周りの人間にも迷惑をかけることになり、訴訟・高額な損害賠償請求に発展することがあります。そのような事態を回避すべく、日頃からセキュリティ対策への関心を持ち徹底することが求められるのです。

システムや情報は様々な脅威にさらされています。それはサイバー攻撃や目に見えないウイルス、あるいは周りの人間ですら脅威になりえます。いくつか、知っておくべき脅威の種類をご紹介します。

マルウェアという言葉を聞いたことがありますか？マルウェアとはコンピュータウイルスやワームなどを含めた、悪意のあるソフトウェアの総称です。その機能や種類は日々増加しています。

コンピュータウイルスの一種ですが、このウイルスはやっかいなことに情報やサービスを人質にして金銭を要求してきます。感染経路はメールが多く、誤って開封してしまうと突然画面が変化しカウントダウンの画面に切り替わります。そして、その下にメッセージが記載されており、「このカウントダウンが0になる前に～万円送ること。さもなければデータを削除します」という脅迫の画面が出てきます。

セキュリティと聞くと、コンピュータウイルスを思い浮かべがちですが、それだけではありません。 人間による脅威も存在します。社員がうっかり顧客名簿を入いれたカバンや機密情報を入れたパソコンを紛失してしまった場合、重大な情報漏えい問題になります。高額な賠償請求を支払う可能性や、最悪その会社の評判が落ちて倒産するといったことにも繋がることがあります。そのため、会社の入館証やパソコンの管理には十分注意しましょう。
宛先を誤ってメールを送信したために情報を漏えいさせてしまうケースも多々あります。送信する前に宛先を確認するクセをつけるか、簡単に送信できないよう 何度も送信者に送信してよいか念を押すようなシステムの導入の検討をおすすめします。
金銭目的で顧客情報を社内のパソコンから外部へ送信する人がいる可能性もあります。このようなことを防ぐため、外部へのメールを監視するシステムも導入するのも良いでしょう。
そして、退職や出向などで使われることがなくなったアカウントは、完全に削除するか凍結させましょう。

サイバー犯罪に巻き込まれる可能性は誰にでもあるため、セキュリティに対する意識と知識を持つべきだとお話しました。
では具体的にどのような対策を講じれば良いでしょうか？実際に今から実践することができるセキュリティ対策をご紹介します。

メールは仕事をするにあたり、多くの人が利用しています。自分に関係がありそうなメールは開いてしまいがちですが、身に覚えのないメールは決して開かないことが大切です。怪しいメールに多い特徴は、【画像を添付したのでご覧ください】や【URL をクリックしてください】とあからさまに誘導的であり、かつこの文章のみしか書かれていないなど、件名や本文が非常に簡素で誘導的な文章であることなどが挙げられます。

メール本文の末尾には送信元の氏名・会社名・部署名・電話番号・メールアドレスの情報を署名として記載されている場合が多く、署名がない場合は悪意のあるメールである可能性があります。
また、「あなたのPCはウイルスに感染しているので 下記のURLをクリックして対応してください」という使用者を慌てさせる手口もあります。

ウイルスメール対策ソフトを必ず入れておくことは言うまでもありません。一人情シスでは、企業全体のメールを把握することは難しいためメールを検知する仕組みを強化しておくことをおすすめします。

メールと同様にインターネットの使用は避けられません。ついつい業務に関係ないサイトを閲覧したりファイルをダウンロードしたりすることで、ウイルス感染や悪質なスパムメールが届くようになってしまいます。
会社のパソコンで業務に関係のないサイトや、公式でないサイトは決して閲覧するべきではありませんが、それでも閲覧してしまいウイルス感染を防ぐためにも、ある程度社内で悪質なURLを 遮断する必要があります。
動画を見られないようにしたりダウンロードする権限をなくしたり、インターネットでできることを制限することで、感染するリスクを大幅に下げることができるでしょう。

残念ながら、セキュリティソフトを入れたらもう安心というわけではありません。新種のマルウェアやサイバー犯罪の手口はますます巧妙化しており種類も増えています。
よって、セキュリティソフトのバージョンを常に最新版にしておく必要があります。ソフトの自動バージョンアップを必ずON にしておきましょう。

セキュリティ犯罪や情報漏えいは、業務に従事している全ての人に関わりがあることです。セキュリティの管理がずさんだったがために大きな事件になってしまうケースは多くあります。また、情報システム部の人手が不足していても、セキュリティ対策を徹底する必要があります。

Webセキュリティ対策としておススメなのが「WAF」の導入です。

WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。

クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。

クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。

ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

https://www.shadan-kun.com/

（2018/4/23 執筆、2020/3/26修正・加筆、2021/10/08 修正・加筆）