会社や組織で 守りたい/守らせたい セキュリティ対策とは

セキュリティ対策(安全対策)の基本

会社や組織では、なかなか実施できない、守れない”セキュリティ対策”

でも、一人でも、一つのパソコンでも、セキュリティ対策が疎かになっていれば、そこが弱点となり、ウイルスに感染したり、大事な情報が漏えいします。

そこが、ネット社会の恐いところ。今は、全てのパソコンやスマホが常時接続なので、常に狙われています。

そして、セキュリティ対策の基本は事前対策が基本だということ。保険と同じですね。事故がケガになって「あー保険に入っていれば」と思っても後の祭り。セキュリティも同じで、一台のパソコンがウイルスに感染したら、回線を通じて、情報は漏えいし、ウイルスが広がります。「あー対策していれば」と言っても後の祭り。

 

そこで、会社や組織で 守りたい/守らせたい セキュリティ対策を少しまとめてみましたので、参考にして下さい。

 


■ まずは、セキュリティ対策の心構え

 

心構え1: ウイルス、詐欺などの危険を知る

有効な対策をするためには、どんな危険があるのかを知ることが必要。

 

心構え2: 危険を未然に防ぐ対策を

対策の基本はセキュリティセフト活用などでの事前対策。発生してから対策しても遅い。

 

心構え3: セキュリティは全ての社員、全てのパソコンが対象

一人でも、そして一台のパソコンでも、セキュリティ対策を実施していなければ、そこが企業・組織の弱点になります。

 

心構え4: 我が社は大丈夫と安易に考えない

安易に考えるといつか危険が。わずかな点も見逃さずに対策(ソフトの最新化、パスワード管理など)を実行。

 

心構え5: 万が一危険にあった場合の対策も実施

万が一危険にあっても被害が拡大しないための対策が必要。データのバックアップ、情報流出時のためのデータ暗号化など。



■ 守りたい/守らせたい セキュリティ対策

特定の企業や個人を狙った標的型攻撃をセキュリティソフトで防ぐのは困難。また、ソフトを最新版に更新していても、修正される前のソフトの弱点(脆弱性)を狙うゼロディ攻撃の被害を受けることも。

更に、万が一被害を受けた場合に備え、データバックアップ、データ暗号化も必要です。

これからは、インターネットの危険を防ぐには、1つの対策だけで満足せず、複数の対策(多重対策、専門的には多層防御)を実施することが重要だと思います。

 

①守るべき対策を明確にした情報セキュリティポリシーの作成と教育

どのような情報資産をどのような脅威からどのように守るのかといった基本的な考え方、情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などをまとめる。

 

②アクセス権限の明確化と最小化

会社のリソースやサービスにアクセス権が多いほど、エラーが起きる可能性は高くなります。

 

③情報保管のルールの明確化
重要な作業ファイルの保管ルールを明確にしないと、ファイルの置き場所を知っていた社員が、情報を誰にも引き継がないまま会社をやめると混乱します。

 

④社員のセキュリティ対策の継続的教育の実施

ネットの危険は日々進化しています。そのため、最新情報をもとに、セキュリティ教育も継続的に実施する必要があります。

 

⑤全てのパソコンにセキュリティソフトを活用し、OS・アプリは常に最新版にする

全てというのが基本です。一台でも抜けがあれば、そこからウイルスが侵入します。

 

⑥パスワードを共有しない
パスワードを知る人が多いほど、フィッシングや不注意や悪意によって漏洩する可能性が高くなります。さらに、インシデントが発生した場合の調査が非常にややこしくなります。

 

⑥大事なサービスには2段階認証を設定する
パスワード関連の問題は、2段階認証/2要素認証を設定してあれば危険性を減らせます。

 

⑥被害を最小限に抑えるためのバックアップの習慣とデータの暗号化

万が一、ウイルスやトラブルがあっても大丈夫なように、大事なファイルをバックアップしましょう。更に、大事なデータは暗号化して、万が一の流出に備えましょう。

 

以下は、一般的なセキュリティ対策ですが、会社や組織内でも大事です。


①セキュリティソフトを導入し、気づかない攻撃を検知・ブロック

セキュリティソフトの活用はやはり基本中の基本。セキュリティソフトを活用し、ウイルスパターンは常に最新版に更新しましょう。


②弱点(脆弱性)を悪用されないよう、ソフトを最新の状態に更新

WindowsやMacなどの基本ソフトはもちろん、IEなどのブラウザ、Java、Adobe Reader、Flash Player などは、脆弱性を修正する更新プログラムが提供されたら速やかに適用しましょう。

 

③怪しいメールの添付ファイルやリンクを安易に開かない

突然、リンクのクリックや添付ファイルを開くように要求するメールが届いたら要注意。また、個人情報を確認したり、アカウント情報の更新を求めるメールも危険です。

少しでも疑わしいと感じたら速やかにメールを削除するのが基本。


④ホームページの広告、不明ソフトをダウンロードしない

動画サイトなどの広告をクリックしたり、不明なソフトをダウンロードするのはウイルスに感染する危険があります、注意しましょう。また、SNSで紹介されているURLにも危険なサイトがあるので、不用意にURLをクリックしないでください。


⑤パスワードは簡単にせず、同じパスワードを複数のサービスで使わない

パスワードは簡単にせず、8桁以上にする(英字の小文字・大文字、数字を混合)。

また、同じパスワードを複数のサービスで使っていると、盗まれたパスワードを使って悪用される危険性が高まります。

 

参考情報:

スタートアップ企業にありがちなサイバーセキュリティ関連のミス | カスペルスキー公式ブログ -