アンリミテッドエクストリーム株式会社

中小企業でのセキュリティ対策

in

ページへのリンクは自由に行なって頂けますが、掲載内容は弊社著作物で著作権法が適用されます

パソコンのセキュリティ

重要なアプリのセキュリティ更新

ウイルスなど不正なプログラムの実行は、Windowsの技術革新などで極めて難しくなったものの、不正なプログラムの実行を可能とする部分(脆弱性)が発見されることもあります

この脆弱性を解決するセキュリティ更新が提供されたときに、それをいち早く実施することが極めて重要な情報セキュリティ対策となり、特に以下のセキュリティ更新が重要となります

重要なアプリのセキュリティ更新

セキュリティ更新が行なわれなくなった古いアプリを利用しない

サポート期限が切れて、セキュリティ更新が行なわれなくなった古いアプリを利用し続けることは、極めて高いセキュリティリスクを抱えることとなり、御社の事業継続を困難とする原因になり得ます

サポート期限を意識した上での新しい製品への移行を計画的に進めてください

またWindowsは、メジャーバージョンアップの度により高度な脆弱性緩和技術が追加されており、できるだけ早めに新しいWindowsへ移行することも重要なセキュリティ対策となります

パソコン購入時の試用版セキュリティアプリが重大なセキュリティリスクに

パソコンを購入した時に、マカフィーやウイルスバスターなどセキュリティアプリの試用版が入っていることがあります

(試用版アプリを購入した場合、パソコンメーカーに紹介料が発生するため、これらが予めインストールされていることがあります)

弊社では、Microsoft Defenderの利用を推奨すること、また無料の試用期間を超えると本来の機能をせずに重大なセキュリティリスクとなり得るため、

いち早く試用版のセキュリティアプリをアンインストールし、Microsoft Defenderに切り替えることを強く推奨しております

中小企業でのWindowsセキュリティ対策はMicrosoft Defenderがベスト

最近のWindowsは、不正なプログラムの実行を極めて困難にする高度な脆弱性緩和技術を含むセキュリティ機能が標準実装されており、メジャーバージョンアップの度にさらに強力になっています

一方で家電量販店で販売されているレベルのセキュリティアプリは、高い技術力を持っていた部門は大手企業向けの事業として買収などによる業界再編が進み、Microsoft Defenderを超える技術を持つところはないと言える状況です

また、これらが原因でパソコンが正常に動作しなくなる、起動しなくなるというトラブルを引き起こすことも少なくありません

そのため、弊社では中小企業でのWindowsセキュリティ対策としては、Microsoft Defenderの利用を強く推奨しております

現在のWindowsがどれだけ強力なセキュリティを実装しているのか、技術的に確認されたい方はマイクロソフト社のこちらのページをご確認ください

中小企業にEDRが不要な理由

弊社では、特別必要なケースを除き、中小企業へのEDR導入を推奨しておりません

そもそもEDRとは、ウイルス感染などの問題が起きたときに対応するため、その対応に必要な情報を収集する仕組みであり、Microsoft Defenderよりもウイルス感染防止力が強いわけではありません

大企業と違い、情報システムが複雑ではない中小企業では、攻撃経路分析やフォレンジックの必要性が低く、このEDRを導入する有効性は低いのです

また、EDRを正しく機能させるには、高度な監視・分析を行うSOCとインシデント発生後の早急な対応を行うCSIRTが不可欠で、これらがないとEDRは単なる情報収集機能に過ぎず、セキュリティ強化にはなりません

近年、実効性を持たない簡易SOCまたはSOC体制すら持たない事業者が「EDR導入で安全」と営業するケースが増えていますが、これだと導入する意味がないどころか、誤った安心感から基本対策を疎かにするリスクもあります

EDRを正しく機能させるには、少なくとも以下の条件を満たす必要がありますが、多くの中小企業では得られるメリットの割にかかるコストが大きく非現実的です

  • SOC・CSIRTサービスが提供され、24時間365日体制であること
  • SLA(サービスレベル保証)が明示されていること
  • 情報セキュリティに関する国際認証 SOC 2 Type II を取得していること
    • 取得しやすく実運用の信頼性を評価できない ISO/IEC 27001 だけでは不十分
    • 海外本社だけでなく、日本法人のサービスが対象か確認するのも重要

特別必要とされる事業環境で導入するなら、専門人材のいない中小企業こそ監視・対応までフルパッケージのMDRを使わないと意味がなく、MDRを提供する中でも特に信頼性の高い CrowdStrike Falcon Complete Next-Gen MDR を推奨します

アプリは安全な場所からインストールして、必要性がないものはインストールしない

Zoomなど多くの人が使っている有名なアプリでも、ダウンロードする場所によっては本物のアプリにウイルスを混ぜたものが配布されていることがあり、注意が必要です

  • そのアプリがないと業務が行えないもの以外はインストールしない
    • 圧縮解凍アプリ(Lhaplus・7-zipなど)は、セキュリティ問題が見つかって悪用されたときのリスクが特に大きく、現在はWindows標準機能でZipファイルを取り扱えるため、圧縮解凍アプリのインストールは控えましょう
  • OS公式ストア(Microsoft Store、App Storeなど)からインストールする
  • その他のアプリは、会社が事前に許可したものを指定されたアドレスからダウンロードする
  • 会社が許可していないアプリが業務で必要となる場合、システム管理者または上司に相談する
アプリは安全な場所からインストールして、必要性がないものはインストールしない

パスワードを使い回さず、多要素認証は必ず設定する

複数の機器やサービスで同じパスワードを使った場合、どれか1つで情報が流出すると、他でも不正アクセスが行われる危険性が極めて高くなります

そのため、それぞれの機器やサービスごとに独自のパスワードを設定することが重要ですが、いくつものパスワードを覚えるのは無理なので、パスワードを管理して入力補助もしてくれるパスワードマネージャーを活用しましょう

パスワードマネージャーによっては、ダークウェブに流出した不正利用される可能性が高いパスワードをチェックして警告する機能もあるため、より安全なパスワード管理を行えます

また、銀行のワンタイムパスワードのような多要素認証を利用できるものについては、それを活用しましょう

万一パスワードが流出しても、第三者による不正利用を防ぐことができます

推奨するパスワードマネージャー

  • Microsoft Edge パスワード管理機能
    • Microsoft 365と併用して、職場プロファイルで組織として管理
  • Google Chrome パスワード管理機能
    • Google WorkSpaceと併用して、職場プロファイルで組織として管理
  • 1Password ビジネスプラン

社内ネットワークのセキュリティ

UTMなどのセキュリティ機器を安易に導入しない

UTMなどのセキュリティ機器を提案されることも多いかと思いますが、中小企業向け事業では、深刻な知識不足により不適切な形で導入されることが大半で、むしろ何もしなかった方が安全だったというケースが目立ちます

例えば、FortiGateなどのUTMの設定不備が原因でランサムウェアに感染したという事例が国内で数多く発生しています

大手企業による導入であっても、VPN機能を安全に利用するための設定がされていない、暗号化通信に対してセキュリティ機能を適用する設定(SSLインスペクション)が設定されておらず、そもそも実質的にセキュリティ機器として動作していないのに、リース料だけ払っているというケースがほとんどです

極めて強力なセキュリティを持つクラウドサービスを活用

生産性を高めるだけでなく、極めて強力なセキュリティにより、メールの送受信からデータ保管までを保護できるMicrosoft 365やGoogle Workspaceなどのクラウドサービスを活用することを推奨しております

弊社では、お客様がご契約のMicrosoft 365やGoogle Workspaceなどのクラウドサービスを、より安全に利用するためのセキュリティ設定を行い、

お客様の状況に応じては、情報セキュリティ方針・標準の策定、コンプライアンスポリシーの構築、Microsoft Intune + Microsoft 365 Defender for Endpointによるより高度なセキュリティ対策(MDMとMAMによるデバイス管理制御・不正アクセスの監視・シャドーITの検出など)を提案・提供いたします

中小企業でのセキュリティ教育

セキュリティ教育・研修の実施

情報セキュリティについて、日常業務における様々な危険やそのリスクを回避・軽減するための取り組みを知ることはとても重要です

独立行政法人情報処理推進機構(IPA)が、中小企業におけるセキュリティの取り組みについて様々な情報を提供しており、活用できます

特に、中小企業でのセキュリティ教育・研修を進めるうえでわかりやすく参考になるものとして、以下の2つのページをご紹介します

従業員が個人所有しているパソコンも、仕事で利用するなら対策が必要

自宅にある従業員が個人所有しているパソコンであっても、テレワークで会社のシステムに接続する、または会社のデータを取り扱うことがあるのなら、そのようなケースへの対策も重要で、個人所有のパソコンでも適切なセキュリティ更新を行うことを周知してください

マンガや映画・アニメなどの著作物を権利者の許可なく違法に公開しているサイトがあり、このようなサイトを従業員が利用することも少なくありません

このようなサイトは、広告収益を目的とするだけでなく、ランサムウェアなどの不正なプログラムに感染させることを目的とした危険なサイトも多く、特にWindowsやブラウザのセキュリティ更新を怠っている状態でアクセスすると、不正なプログラムに感染する確率は高くなります

このような違法サイトの危険性を周知したとしても、本来お金を払って利用するべきものを無料で何とかしようとするケースはゼロにはできないため、福利厚生で動画の見放題サービスを提供するなどの取り組みも、現実的なセキュリティ対策としては有効な手段となります