クラウド型セキュリティサービスの価値を、「従業員任せにした最悪の事態」から考える：事例で分かる、中堅・中小企業のセキュリティ対策【第14回】

サイバー攻撃対策を従業員の力量に任せるのは危険です。IT資産のセキュリティ対策を一元管理する「クラウド型セキュリティサービス」のメリットを解説します。

[那須慎二，船井総合研究所]

連載について

情報セキュリティ対策をしたくても、ITに詳しい人が社内外にいなくて困っている中堅・中小企業は多いのではないでしょうか。「知識不足」と「ヒト、モノ、カネ不足」の問題が目の前にあっても、対策は待ったなしの状況。予算を握る上司を説得するために、サイバー攻撃の事例を紹介しながら、その効果的な対策につながる情報セキュリティ製品を分かりやすく解説します。

• 事例で分かる、中堅・中小企業のセキュリティ対策（連載インデックス）

アップデートを従業員任せにしていると起きる「最悪のシナリオ」とは

　あなたの会社では、Windowsのアップデート機能「Windows Update」の実行やセキュリティパッチの割り当て、ウイルス対策ソフトウェアのアップデートなどを、どのように運用、管理していますか。

　組織的に一元管理するのが理想ですが、中小企業でありがちなのは、セキュリティ対策を個人任せにしてしまう、ということです。エンドポイントセキュリティ対策では、Windows Updateの実行やセキュリティパッチの適用、ウイルス対策ソフトウェアの定義ファイルアップデートは基本中の基本です。これらの実施でセキュリティリスクは目に見えて軽減するにもかかわらず、対策を個人任せにしてしまい、対策を実施していない端末が脆弱（ぜいじゃく）になり被害が拡大してしまう可能性があるのです。

　筆者は先日、次のような相談を受けました。

「Windowsのアップデートやセキュリティパッチの割り当ては従業員に任せています。『セキュリティパッチが出たら、必ず実施するように』と伝えているのですが、どうやらアップデートしていないことも多々あるようなんです。最新状態にアップデートされているかどうかを確認するために、月に数回は机のPCを見回って、きちんとできているかどうか確認しているんです。他に何かいい方法はありませんか」

併せて読みたいお薦め記事

クラウド型のセキュリティサービスについてもっと詳しく

• 「クラウド型DDoS攻撃対策サービス」を賢く選ぶ“3つのポイント”とは？
• どこでも“セキュアに働ける環境”の構築術、鍵を握る2つのITツールとは
• Webセキュリティ対策が手軽にできる「クラウドWAFサービス」10選

今理解すべき「CASB」の実力

• クラウドセキュリティの“熱い”キーワード「CASB」とは何か？　誕生の理由は？
• いまさら聞けない、「CASB」と「URLフィルタリング」は何が違うのか？

　IT資産を一元管理する方法は多数あるのですが、やり方が分からなければ、対処のしようがありません。ITリテラシーやセキュリティリテラシーが低い従業員の場合、セキュリティパッチはおろか、Windows Updateのことも知らない、というケースも考えられます。

　仮に個人に管理を任せる場合は、社内でセキュリティ教育をしっかりと施して、セキュリティパッチやWindows Updateの必要性を感じてもらい、業務ルーティンの1項目として実施するように仕組み化する必要があります。

　次のようなケースもありました。セキュリティ対策を個人任せにすることで、比較的ITリテラシーの高い従業員が自らセキュリティの脆弱性を作ってしまった事例です。

「全ての端末にウイルス対策ソフトウェアを導入しています。その中には、不必要なWebサイトへのアクセスを禁止するソフトが入っているんですが、ある従業員はITスキルが高く、Webサイトへのアクセス禁止設定を自分で解除してしまうんです。どうもその従業員は業務時間中にグロテスクなWebサイトを見ているらしく、他の従業員が嫌な気分になっているんです。どうすればいいでしょうか」

　ITスキルが比較的高い従業員の場合、このように勝手にPCの設定を変更してしまうケースが起こり得ます。周囲に迷惑を掛けるだけでなく、Webサイトへのアクセス禁止設定を自ら解除しているのですから、その人が会社にセキュリティホールを作っているような状態で、大変危険です。

　このケースの場合、「Active Directory」のようなユーザー認証の仕組みを採用しておらず、エンドポイントにおけるソフトウェアの設定変更などを個人でできるようにしているのも問題です。

• ソフトウェアによってWebサイトへのアクセス禁止制御をするのみならず、Active Directoryの認証によって、一般職員がソフトウェアの設定変更などをできないようにする
• ポリシー設定によって、該当するセキュリティ設定を強制的に付与する

　これらのような複数の対策を同時に実施することで、セキュリティレベルを上げる必要があるでしょう。

　いずれにせよ、組織としてのセキュリティレベルを高めることが必要です。セキュリティ対策は個別に任せるのではなく、一元管理をすることを前提に取り組みを進めてください。ここでもう一度、筆者がお勧めする、中小企業向けの基本的なセキュリティ対策をまとめます。