齋藤:「社長、すぐにでも情報セキュリティ対策に取り組んでいきましょう」
社長:「齋藤先生、またまたオーバーですよ。サイバー攻撃なんか大企業とか官公庁みたいな大きなところ が狙われるんですよ。私ら100人くらいの小さい会社は、盗まれても高値で売買されるような情報も ないですよ。そんなもんですよ」
齋藤:「社長のおっしゃるとおり、今闇サイトで取引されているマイナンバーは1件あたり1,000円程度です」
社長:「うちの子どものポケモンカードの方が高いな」
齋藤:「値段というより、脅迫材料として使われること、業務が停止してしまうことが問題なのです。今やランサ ムウェアによる攻撃は、企業規模に関係なく被害件数が急増しているんです」
社長:「そうは言っても、何をやったらいいかよくわからないよ」
齋藤:「情報セキュリティで考えなければならない三要素が以下の3つです。英語の頭文字を取ってCIAな んて呼んでます」
@機密性(Confidentiality)―情報へのアクセスを制限する
A完全性(Integrity)―情報が破壊、改ざん又は消去されていない状態を確保する
B可用性(Availabilit)―必要時に中断することなく、情報にアクセスできる状態を確保する
1.機密性の確保
・パスワードの設定、パスワード管理のルール造り
・UTM(統合脅威管理機器)導入、防犯カメラ設置、
・退職者(情報担当者)が出た際にはパスワード変更。
・退職者のPC、USB、ノートなどの確認し情報を返却させる
・守秘義務契約を作成する
2.完全性の確保
・ログをとること。履歴を追えるようにしておく。
・システムの「操作ログ」設定を必ず行う。
・定期的にNAS等にバックアップを取る。バックアップは2重化、暗号化がベター
・外部通信ログの確認。社内〜社外への通信記録を確認する。
・情報管理教育
3.可用性
・別のサブシステムを用意しておく事で稼働できる体制を作っておく
・バックアップを取っていたものをすぐに使用できるような体制にしておく
特にリソース不足の中小企業に私がお勧めするのは「UTM機器の導入」です。
この機器にはアンチウイルス機能(いわゆるウイルスバスターなど)、スパムメール防止、社内PCの閲覧WEBサイトログ、IPS(Intrusion Prevention System:不正侵入防御システム)機能があることです。 これは社内ネットワークへの不正アクセスや内部情報の持ち出しをリアルタイムで検知し、管理者へ通知し防御するシステムです。
多くの中小企業では、そもそもサイバー攻撃を受けたのかどうかすら分からない状態です。
ウイルス感染したまま数年放置されていたなどのケースが多々あります。
当社では、クライアントPC社内と社外通信のデータは全てUTMを通じて自動でチェックが行われ、PCにおける悪質WEBサイトから情報窃盗を防ぐための閲覧自動監視、異常パケットなどの検出も行われています。
数字としてみると毎日1000回程度の外部からのサーチアタックがカウントされています。
会社の情報機器すべての状況を見える化できる事が大きなメリットになります。
みなさんの会社でも気づいていないだけで、内部、外部両面で、驚くほど多くのサイバー攻撃につながるアクションがあることを知っていただきたいと思います。
情報システムの専任者がいなくとも、まずはここに挙げたことから始めてみてください。
|