SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

中小企業に求められる情報セキュリティの6つのポイント

この記事をシェア

サイバー攻撃の手法の多様化が進んでおり、大企業や大規模な組織、そして著名人など特定の標的が狙われる場合もあるが、他方では、不特定多数の個人や中小企業がターゲットにされることもある。以下では、中小企業がサイバー犯罪者に狙われた場合の防御策を考える。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

中小企業に求められる情報セキュリティの6つのポイント

サイバー犯罪者は、紛れもなく大規模な企業・組織を攻撃しているが、より小さな企業・組織は同程度に脆弱であり危険に満ちあふれている。そればかりか、しばしば基本的なところで防御に失敗していることも多い。以下では、小規模ビジネスの安全性を維持するために知っておきたい主要ポイント6点を示す。

1 リスクの評価

「どのようなビジネスを営んでいるか」「どういったデータを持っているのか」ということは、ビジネスのリスクレベルに影響する。最も小さなビジネスであっても、スタッフの個人情報をファイルし、クライアントのアカウントや消費者の活動についてのデータを保持している。もしも消費者に対して決済を処理すれば、クレジットカードの詳細や住所の情報を自身のサーバーに保持することになるだろう。

さらには、消費者のほかの個人情報を持っているかもしれない。メールやマーケティングのリストのようなものだ。いずれにせよ、どんな種類のビジネスであれ、サイバー犯罪者が興味を抱くであろうデータを生成し保存しているものなのである。

保持しているデータの点検を終えたら、続いて、セキュリティが侵害された場合のビジネスへの影響を考えなければならない。誰が、または何が影響を受けるのだろうか。その後もビジネス上の取引を継続できるのだろうか。たった一度でもリスクに対してはっきりとした見通しを持っておけば、正しくセキュリティ対策を実行しているかどうか、何を改善するべきか、決めることができるだろう。

2 スタッフへの教育

セキュリティを強化するための第一歩は、スタッフにクラッカーや犯罪者のリスクに気付いてもらうことである。サイバー犯罪者は非常に狡猾で洗練されているものの、簡単な防御策と教育で大半は食い止められる。サイバー犯罪の危険について学び、サイバー犯罪者が使う仕掛けについてスタッフに知ってもらうために、ESETではガイドを用意しているので、これを活用してほしい。比較的スタッフが少ない小規模ビジネスであれば、セキュリティに関する研修を設けるのも容易であろう。

研修を通じて、スタッフにメールの安全性、パスワードの使い方、安全なモバイル使用、そしてデータ保護の重要性について自覚を持ってもらえることだろう。そして、Webやソーシャルメディアも対象に含む利用規定である「AUP」(Acceptable Use Policy)を導入することもできる。スタッフのセキュリティ意識の向上についての詳細は、ESETのガイドが参考になるだろう。

3 ハードウェアファイアウォールの導入

マルウェア侵入を食い止める上で最も大事な場所は、ビジネスに入ってくるポイント、言い換えれば、社内のネットワークがインターネットと接続するところだ。すなわち、ハードウェアのファイアウォールがあるところということになる。ファイアウォールは今、小規模ビジネスの需要に見合ったものが使用でき、簡単に管理できる手の届きやすい価格になっている。

ファイアウォールとウイルス対策ソフトウェアが1つのボックスにまとめられている利点は、ネットワーク上の全てのPCを守れることと、アップデートと管理が1つのボックスだけで済むことだ。ウイルス対策ソフトを最新の状態に保つことを個々のユーザーに委ねず、特定のWebサイトへのアクセスを制限し、スパムメールを制御し、疑わしいメールを従業員の受信箱に届く前に対処できるということでもある。幾つかのプロダクトは、オフィス外で働く従業員に対しても、防御を提供できる。ハードウェアファイアウォールはビジネスとスタッフを守ることができ、従業員を仕事に集中させられるのだ。

4 ウイルス対策ソフトを最新の状態に保つ

もしハードウェアファイアウォールが自分には向いていないと感じているなら、ハードウェアファイアウォールの機能の大半を有するウイルス対策ソフトウェアを全てのPCとモバイルデバイスにインストールすることが必須である。そして、新たなコンピューターウイルスやトロイの木馬などを見つけるために、常に最新の状態に保っておかなければならない。

品質の良いウイルス対策ソフトは、これを自動で行える。Google MailやWindows Office Liveのようなクラウドベースのメールサービスは、自動スキャンを提供している。もしもWindowsかMacのPCを使っているのであれば、全てのセキュリティパッチを、すぐにインストールして使えるよう確保しておきたいものだ。

5 Webサーバーとデータサーバーを分離する

仕事やサービスの宣伝のためにWebサイトが利用されていることだろう。もしも自分のWebサイトを自身のサーバーで運用しているのなら、データサーバーとは分離しておこう。データを盗み出したり、ネットワークを攻撃したりするWebベースの攻撃の成功を難しくさせる。代替策としては、Webホスティング会社をWebサイトの運用において活用することだ。

6 セキュリティの専門家を任命する

小規模ビジネスでは、フルタイムのITセキュリティの担当者を確保する余裕を持たないかもしれない。その場合は、よりITに詳しいスタッフをITセキュリティの運用のために指名してはどうだろうか。

別の選択肢としては、セキュリティ監視サービス業者(MSSP)をパートナーにすることだ。Webとメールセキュリティを、契約に基づき、全てのITセキュリティのニーズをアウトソースできる会社だ。多くのMSSPは、小規模ビジネス向けの特別なサービスを提供している。MSSPを使うときには、サービスレベルに関する合意とそれに見合うサービスをMSSPが提供することに、双方が完全に同意しなくてはならない。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!