SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

企業・組織のセキュリティ対策における弱点はどこにあるのか

この記事をシェア

一般家庭と異なり企業・組織は、内部の社員たちの情報のみならず、顧客や取引先などの情報も保有している。そのため、ビジネス上のセキュリティは万全であることが求められている。以下では、明文化された対策ではこぼれがちな「弱点」に焦点を当ててみる。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものです。

企業・組織のセキュリティ対策における弱点はどこにあるのか

ビジネス上におけるセキュリティで克服しなければならない最大の課題の1つに、安全性を維持しなければならない箇所については徹底した管理を行うことが挙げられる。ダウンロードできるマニュアルもなければ、全ての場合に適したモデルもない。そうした状況でビジネスのセキュリティを高めようとするならば、データ漏えいを起こし得るエリアや狙われそうな攻撃傾向を見抜けばいいのである。これらの弱点を見つけ、それらのギャップを埋める最も良い方法のアドバイスを得ることである。

それでは、どこから始めればいいのだろうか。基本原則についてはどこでも繰り返されていると思われるので、ここでは幾つかの本質的な検討事項に絞って弱点対策の要を示すことにしよう。

知は力なり

すでに世の中には活用できる知識が山のようにある。どのような内容にも、どのような規模にも対応してくれるセキュリティの専門家が、ほぼ世界中のどこにでもいる。アドバイスを得るだけなら簡単なことである。むしろ、そこで大事なのは、1つだけではなく複数のアドバイスが得られるようにしておくことである。ITの世界は著しい成長率で進化しているため、常に最新の対策を提供し続けること自体が大変なことであるからだ。

社内教育が違いを生む

ビジネス環境において、最も弱い箇所はエンドユーザーである。ただし、その良い点はそれが最も強い資産にもなることだ。ビジネス環境の場合、エンドユーザーとはスタッフのことである。少なくともサイバー犯罪との戦いにおいてスタッフを戦力にすることは、見掛けほど困難なことではない。スタッフに現在の脅威を理解してもらったり、脅威がどのようにもたらされるのかを学んでもらうために研修を行うことは、フィッシングリンクやスパムメールを介して侵害されたWebサイトを訪問してしまったりする際に、大きな違いを生み出すことだろう。自分がビジネスをする上でセキュリティの一部を担っているとスタッフに感じさせることが、ビジネス全体を安全に保つために重要な側面となるのは、間違いない。

先回りした行動が肝要

ハードウェアとソフトウェアの安全を保つことは、現在進行形の仕事だ。会社の内外でデータが入ってくる経路を確認することは、どのエリアを安全にするべきなのかを明確にするだろう。新たに何かがインフラに加えられたり、すでに設定してあるパスワードを変更したり、ファームウェアをアップデートしたりするときの、一連の操作を文書化して整理しておこう。そして最新のアップデートをインストールし、定期的にアップデートすること。多層防御ソフトウェアは必須で、全ての端末とサーバーにインストールしておかなければならない。

仕事のフレックス化はリスクも増やす

社外や自宅で従業員に仕事をさせることは「世界中どこからでもネットワークを通じてアクセスすることが、ますます簡単になり、ほとんど避けられない」ことを意味する。使いやすさと共にネットワークへの不正侵入や認証情報の漏えい、安全ではないWi-Fi接続、ソーシャルメディアのアカウントのハッキングといった、企業をリスクにさらしかねないものに対して危険性が高まる可能性が生じることを、忘れるべきではない。

全てのデータに価値があり、狙われている

仮想化は今日、非常に簡単になり一般化しているので、膨大なサーバーを持つことは今まで以上に簡単になった。

もしサーバーを社内や組織内で活用しようとしているのなら、安全性や信頼性の高いサーバーOSを使うようにするべきである。また、最新のソフトウェアをインストールしておくことや、パッチを当ててアップデートすることも大切だ。今や多くの企業・組織には、世界中に出入り口があるため、1度の攻撃でも致命的となり得るリスクを(日常的に)抱えている。保有するデータが重要ではないとか、誰の役にも立たないといった愚かな考えにそそのかされてはならない。全てのデータには価値があるのだ。

定期的なバックアップは不可欠

ランサムウェアは最近では最も破壊的なマルウェアの1つとなっている。したがって、何よりもランサムウェア対策を優先的に考え、データのバックアップ体制を適切に計画しておくことが重要である。さらに、逐一バックアップを取る必要性を説明する際には、保管されているデータのバックアップの頻度と場所も非常に重要だ。そして再度繰り返すが、専門家のサポートはいつでも利用できるようにしておくことが望ましく、もし何か不安なことがあるなら、迷うことなく有効活用するべきである。

課題を全てクリアする

こうした説明は読むのはたやすいが、ビジネスを安全にすることを考えるのは複雑であり、幾つかのケースでは費用もかかる。しかし大半のビジネス案件がそうであるように、セキュリティ問題は絶対に対処および遂行するべきものなのだ。もしも実行する計画を立てたのならば、何はともあれインターネットを最大限活用してテストを行ってみよう。特に、「侵入テスト」には多くのオプションがあり、脆弱性がどこにあるのか確認できる。テストし、問題を解消し、再びテストしよう。何もせずにお金を貯めようとしても、時間だけを浪費してしまうのと同じことである。もしも何もしなければ、いつか、最初に貯めていた額よりも何十倍もの費用を支出してしまうことだろう。

この記事をシェア

標的型攻撃のセキュリティ対策に

マルウェア情報局の
最新情報をチェック!