前回に引き続き、ITシステムのセキュリティ脅威分析についてお話します。
前回はこの10大脅威に共通する脅威の原因と注意すべきことについて、4つお話しました。
4つの原因と注意すべきこと
一つ目はソフトウェアの脆弱性。これにはソフトウェアの更新をこまめに早めに行う。二番目はウイルス感染です。セキュリティソフトを利用することや不審なメールは開かない、怪しげなサイトにアクセスしないといったことで防ぐ。三番目はパスワードの漏えいです。漏えいしないように安易な表示はやめ、できるだけパスワードも複雑にする。四番目は設定不備。むやみに自動ログオンにして、誰でも入れるとか、自動更新のオフをやめて、脆弱性への対応をおろそかにすることはやめる
5つめ:脅威への知識不足
でした。で、ここからが今回で五番目は、脅威への知識不足です。
上記の4つも理由がわかっていれば、自然と対策できると思うのですが、理由がわからずに対策だけ指示されてもなかなか守れないことが多いです。守れないのは守ると不便になったり、気を使う時間が長くなるからです。
ソフトウェア更新チェックソフトやウイルス対策ソフトは、常駐しているためにメモリを消費します。結果として、少ないメモリのパソコンは動きが遅くなります。これが不便と感じる人が少なくないです。だから、少しネットで調べて、安直に更新をとめてしまうことがあります。
自動ログオンも同様です。イチイチ打つのがめんどくさい、パスワードを覚えておくなんて大変だ。楽だから自動ログオンにしたいのにやってはいけないなんで不便だ。だから内緒で設定しちゃおう、もしくは簡単なパスワードにしちゃえといった話もよく聞きます。そして、大変なことが起きてから、なんでこんなことになったんだ。悪いことなんてしてないのにといった話になってしまいます。
残念ながら、大企業だから大変で、中小企業なら安心といったことは情報セキュリティに関してはありません。むしろ、専門担当者がいない中小企業から攻め込んで踏み台として、大企業を攻めることが一般的だとも言われます。
水が低いところに流れるように、悪い人もセキュリティに低いところに流れるのです。こういった悲劇を自社で起こさないようにするには、セキュリティ教育が不可欠です。
セキュリティ教育
しかし、セキュリティ教育というと「でも、うちには専任のスタッフもいなければ、外部の専門家とも契約していない」「ただでさえ、厳しい財務状況なのにお金をかけるのは難しい」といった声も聞こえてきそうです。いざ、情報漏えいが起きてしまうとこんなことも言ってられないのですが、社内に知識がないとこうなりがちです。
こんな時のお勧めは、IPA(情報処理推進機構)で提供している「映像で知る情報セキュリティ」です。以前も別の時に紹介していますが、ドラマ仕立てで短くも要点を抑えたセキュリティ脅威と対策がわかるようになっています。
冊子や教育資料もありますが、少し専門的な内容が多いので、まずは動画で概要をつかんでから、少しずつ教育を広げていきましょう。できれば、一人で見るより、複数人で見る方が脅威に対する意識共有もしやすいと思います。
できれば、やってほしい2つの対策
あと、上記5つの理由と対策以外にもできればやっておきたい対策として、2つほどお勧めがあります。
現場事務所のように不特定多数の人が出入りする可能性がある場所では10分以上離れたら、スクリーンセーバーが働き、ログオンしないと入れない設定にすることです。デスクトップで右クリックして、個人用設定を選び、出てきたメニューからロック画面を選択その下にある、スクリーンセーバーの設定を選んで、好きなスクリーンセーバーを選んだと後に待ち時間を10分、再開時にログオン画面に戻るをチェックするだけです。
二つ目は、月に1回のオンラインウイルススキャン。こちらは無理にしなくてもいいですが、できれば、インストールしていない対策ソフトのメーカーでやると安心が高まります。
大規模地震と同様、備えあれば患いなしです。不幸・悲劇が起きる前に基本的な対策を実施してください。