サイバー攻撃対策を従業員の力量に任せるのは危険です。IT資産のセキュリティ対策を一元管理する「クラウド型セキュリティサービス」のメリットを解説します。
情報セキュリティ対策をしたくても、ITに詳しい人が社内外にいなくて困っている中堅・中小企業は多いのではないでしょうか。「知識不足」と「ヒト、モノ、カネ不足」の問題が目の前にあっても、対策は待ったなしの状況。予算を握る上司を説得するために、サイバー攻撃の事例を紹介しながら、その効果的な対策につながる情報セキュリティ製品を分かりやすく解説します。
あなたの会社では、Windowsのアップデート機能「Windows Update」の実行やセキュリティパッチの割り当て、ウイルス対策ソフトウェアのアップデートなどを、どのように運用、管理していますか。
組織的に一元管理するのが理想ですが、中小企業でありがちなのは、セキュリティ対策を個人任せにしてしまう、ということです。エンドポイントセキュリティ対策では、Windows Updateの実行やセキュリティパッチの適用、ウイルス対策ソフトウェアの定義ファイルアップデートは基本中の基本です。これらの実施でセキュリティリスクは目に見えて軽減するにもかかわらず、対策を個人任せにしてしまい、対策を実施していない端末が脆弱(ぜいじゃく)になり被害が拡大してしまう可能性があるのです。
筆者は先日、次のような相談を受けました。
「Windowsのアップデートやセキュリティパッチの割り当ては従業員に任せています。『セキュリティパッチが出たら、必ず実施するように』と伝えているのですが、どうやらアップデートしていないことも多々あるようなんです。最新状態にアップデートされているかどうかを確認するために、月に数回は机のPCを見回って、きちんとできているかどうか確認しているんです。他に何かいい方法はありませんか」
IT資産を一元管理する方法は多数あるのですが、やり方が分からなければ、対処のしようがありません。ITリテラシーやセキュリティリテラシーが低い従業員の場合、セキュリティパッチはおろか、Windows Updateのことも知らない、というケースも考えられます。
仮に個人に管理を任せる場合は、社内でセキュリティ教育をしっかりと施して、セキュリティパッチやWindows Updateの必要性を感じてもらい、業務ルーティンの1項目として実施するように仕組み化する必要があります。
次のようなケースもありました。セキュリティ対策を個人任せにすることで、比較的ITリテラシーの高い従業員が自らセキュリティの脆弱性を作ってしまった事例です。
「全ての端末にウイルス対策ソフトウェアを導入しています。その中には、不必要なWebサイトへのアクセスを禁止するソフトが入っているんですが、ある従業員はITスキルが高く、Webサイトへのアクセス禁止設定を自分で解除してしまうんです。どうもその従業員は業務時間中にグロテスクなWebサイトを見ているらしく、他の従業員が嫌な気分になっているんです。どうすればいいでしょうか」
ITスキルが比較的高い従業員の場合、このように勝手にPCの設定を変更してしまうケースが起こり得ます。周囲に迷惑を掛けるだけでなく、Webサイトへのアクセス禁止設定を自ら解除しているのですから、その人が会社にセキュリティホールを作っているような状態で、大変危険です。
このケースの場合、「Active Directory」のようなユーザー認証の仕組みを採用しておらず、エンドポイントにおけるソフトウェアの設定変更などを個人でできるようにしているのも問題です。
これらのような複数の対策を同時に実施することで、セキュリティレベルを上げる必要があるでしょう。
いずれにせよ、組織としてのセキュリティレベルを高めることが必要です。セキュリティ対策は個別に任せるのではなく、一元管理をすることを前提に取り組みを進めてください。ここでもう一度、筆者がお勧めする、中小企業向けの基本的なセキュリティ対策をまとめます。
記事閲読行動というインテントデータの活用 スマートニュースのデータクリーンルームでできること
電通と電通デジタルはスマートニュースと共同でデータクリーンルーム「SmartNews Ads Dat...
ファイザーのコンテンツサプライチェーン変革 “コロナ禍で世界を救った”経験はどう生かされたのか?
新型コロナウイルスワクチンをいち早く完成させた製薬会社は、コンテンツサプライチェー...
企業の生成AI活用 なぜ日本は米国に追い抜かれたのか?
PwC Japanグループは日米両国で実施した「生成AIに関する実態調査」を基に、日本企業と米...