セキュリティ担当者の
疑問に専門家が回答

インターネットの利用が増えることで心配になるのは情報セキュリティです。情報漏洩やサイバー攻撃の被害に遭い、システム停止、不正送金、信用低下など痛手を受けた企業も年々増加しています。事故とまではいかなくてもヒヤリとした経験はありませんか。中小企業においてもデジタルシフトが進んでいく中、一体どこまで対策すればよいのか、担当者の悩みや疑問は膨らみます。そこで、情報セキュリティの専門家である那須 慎二さん(株式会社CISO 代表取締役)に、担当者が抱く疑問にお答えいただきました。

  • 那須 慎二

    (株式会社CISO 代表取締役)

    《提供業務》

    セキュリティ診断

    組織力強化・規定

    リスク軽減

    セカンドオピニオン

    経営参謀

    リモート顧問

    プロダクト

    データ復旧・調査

中堅・中小企業を対象とした情報セキュリティのコンサルティングをはじめ、企業からの依頼による講演活動、報道機関(NHK)出演や新聞(日経産業新聞、他)でセキュリティに関する情報提供を行うなど、幅広く活動。著書は「小さな会社のIT担当者のためのセキュリティの常識」「知識ゼロでもだいじょうぶ withコロナ時代のための新常識」。

みなさんの疑問にお答えします

  • (ソフトバンク 村上)「情報セキュリティに関してはソフトバンクのお客さまも関心が高く、増え続けるサイバー攻撃に危機感を募らせているようです。しかし一方で、どのように対応したらよいのか、どこまでやったら十分なのかわからないという疑問の声があがっています。」

    ソフトバンク
  • CISO

    (那須)「弊社(株式会社CISO)でも同様のご相談をいただきます。セキュリティに関するさまざまな情報を受け、何から手を付けたらよいのかわからなくなってしまうようです。そこで、中堅・中小企業のお客さまの実態に即した対策のポイントを、どこよりもわかりやすくご紹介していきたいと思います。」

質問1 情報漏洩しやすいのはどういうところか、必要な予算や対策を知りたいです。

(解説)

情報漏洩事故はPCやスマートフォンといったエンドポイントで起こりがちなので、そういった所にセキュリティ対策を施しておく必要があります。

セキュリティに関する解説の中で見聞きする「エンドポイントセキュリティ」。
エンドポイントは終端の点を指します。ネットワークからみた最後の点です。インターネットから社内のネットワークへとつながり末端にPCやスマートフォンなどのデバイスがあります。ここがサイバー攻撃やウイルス感染の入口となってしまいます。だからエンドポイントを守ることが対策の要になるわけです。

主に情報漏洩が起こる原因は、外部からの攻撃(サイバー攻撃による情報搾取)と内部からの情報流出(退職者含めた従業員による情報流出)です。
今回はその中でも、サイバー攻撃など外部からの攻撃に対する対策についてご紹介します。

重要なのは確実にアップデートを行うことです。

  • 1.OSのアップデートを行う

  • 2.ソフトウェアのアップデートを行う

この2つを行うだけで、脆弱性を狙ったサイバー攻撃の8割以上を防ぐことができます。

実は多くの人が、アップデートを完了できていません。

なぜかというと『アップデートはPCを再起動しないと適用されないから』です。

みなさん、在宅勤務などで仕事をしたあと、電源を切らずにノートPCを閉じていませんか? 会社ではPCの電源をオフにして帰宅し翌朝立ち上げる。でも自宅ではPCをオフにすることがない。つまり再起動しないからアップデートされないケースが増えてきているんです。

セキュリティ対策は、できることが多岐にわたりますので、まずはこうしたお金のかからないところから基本対策を徹底することをお勧めします。

そのほかの対策としては、セキュアなブラウザを利用することも有効です。

お勧めはGoogle Chrome やFirefox 。MacであればSafari です。これらは修正プログラムが自動配信されます。
Internet Explorer は昔からのユーザが多いために狙われやすいブラウザですが、脆弱性がよく発見されています。会社の業務システムがInternet Explorer ベースで作られている場合は業務システムに限定してご利用ください。Internet Explorer でのネット検索はとても危険です。

  • JPCERTコーディネーションセンター(https://www.jpcert.or.jp/)の注意喚起をご参照ください。

  • マイクロソフト社ではInternet Explorer をご利用のお客さまに、新しいブラウザのMicrosoft Edge を使用することを推奨しています。

そして次に、バックアップをとることも重要です。

ランサムウェア(身代金ウイルス)に感染しデータが消失してしまうと大きな被害になるので、データのバックアップをとることも重要な対策です。

さらに、ルータのファームウェアアップデートも行った方がいいでしょう。

少し前に、パロアルトネットワークス(Palo Alto Networks)、フォーティネット(Fortinet)、パルスセキュア(Pulse Secure)のファイアウオールに脆弱性が見つかり話題になりました。

みなさん、自宅のWi-Fiルータのファームウェアをアップデートし忘れていませんか?管理画面から簡単な操作でアップデートできますので、確認してみてください。

質問2 仕事で携帯電話やスマートフォンを使う機会が増え、セキュリティ対策をどうすればいいのか気になっています。

(解説)

スマートフォンはPCよりも紛失リスクが高まりますので、情報漏洩対策をしっかり行う必要があります。

  • スマートフォンの認証機能(顔認証やパスコード)を利用することはもちろんのこと、リモートロックや遠隔からのデータ消去ができる仕組みを取り入れてください。会社からスマートフォンを貸与するときはデバイスやアプリケーションのアップデート状況を監視する仕組み(MDMやMAM)を用意することは基本的なことです。

  • MDM(Mobile Device Management)は、ビジネスで利用する複数のモバイル端末を管理する機能や、リモートロックや遠隔からのデータ消去ができる機能が備わっています。
    MAM(Mobile Application Management)は、モバイル端末にインストールしたアプリケーションを管理する仕組みですが、MDMに標準機能として含まれていることもあります。

質問3 どういった状態であれば安全といえるのか、基準はあるのでしょうか?

(解説)

IPA 独立行政法人 情報処理推進機構の『5分でできる!情報セキュリティ自社診断』と、NISC 内閣サイバーセキュリティセンター『情報セキュリティ対策9か条』をベーシックなセキュリティ基準としてご紹介します。

信頼できる公的機関から発行されているものですので、まずはこの基準を網羅できているかどうかチェックしてみてください。

質問4 セキュリティの専任担当がおらず、総務業務を担当しながらセキュリティもみています。比較的手軽にでき効果もあるセキュリティ対策があったら知りたいです。

(解説)

  • OSのアップデートを行う

  • ソフトウェアのアップデートを行う

  • セキュアなブラウザを利用する

  • バックアップをとる

  • ルータのファームウェアをアップデートする

  • モバイル端末の管理をする

上記対策が必要であることはすでに述べましたが、これを全従業員に徹底してもらい、管理していかなければなりません。しかしその業務をマンパワーでこなすことはハードなので、通常はセキュリティツールを利用します。
またUSBメモリの利用制限やログ監視も合わせてセキュリティツールに設定すれば、効果的な対策をムリなく推進できるはずです。

質問5 テレワークのときのセキュリティが不安です。どんな対策を考えたら良いでしょうか?

(解説)

テレワークでは会社貸与のノートPC、スマートフォン、モバイルWi-Fiルータなどを使うので、その環境を想定した対策が必要です。

  • 例えば、

    • ログイン認証

    • OS、ソフトウェアのアップデート

    • ルータのファームウェアのアップデート

    • ウイルス対策ソフト

    • 脆弱性対策ソフト

    • HDD(ハードディスク)の暗号化

    • USBメモリの利用禁止

    • ログ(利用履歴を残す)管理

    など。

これを実行できる環境を整えることが大切です。

安心して働ける環境をつくりましょう

中小企業のセキュリティ対策において大事なことは「基本的な対策を徹底しておくこと。対策できていないことに気づくこと。対策は継続的に行うこと。」だと那須さんは言います。

  • (那須)お金をかけなくてもできる対策はたくさんあります。ウイルス対策ソフトやセキュリティツールは有償ですが、最低限の対策を行うのに重要なので入れるべきです。

    CISO
  • ソフトバンク

    (村上)那須さんから力強いメッセージをいただき、あらためてセキュリティの意識を高く持つことが大切だと感じました。OSのアップデート、それから自宅のWi-Fiルータのアップデートなど、行動に結びつかなければ意味がありません。わずかな気のゆるみから1人でも対策に欠けることがあればセキュリティリスクなのです。もし対策できていないことに気づいたら、従業員に働きかけて抜け漏れのない対策を推進いただけたらと思います。

セキュリティ対策を推進し、安心して働ける環境にしていきましょう。

(2021年1月 記事作成:村上)

  • 取材協力

    株式会社CISO

    「日本にセキュリティのバリアを張り巡らせる」ことをミッションとし、その屋台骨である中堅・中小企業をお護りすることを目的とした「中堅・中小企業専門」のセキュリティ会社です。セキュリティ事故ですべてを失うような状況を無くし、安心してデジタルシフトの恩恵を受けてもらいたい。そのように願い、対策をお手伝いさせていただきます。