お金がかからないからこそやっておきたい16のセキュリティ対策
悲しいかな、セキュリティ対策はとかくお金がかかります。セキュリティが経営の問題だと言われるのも、兎にも角にも、先立つものがなければ何もできないからです。
もし、あなたの会社で情報漏洩が起きたらどうなるでしょうか?
被害の状況を正確に調べるために必要となる専門家への作業委託費、お客様へのお詫び、マスコミ対応にかかる費用、などなど、多額のお金がかかることが次から次へと必要になります。
こうした費用がかかってしまうことを防ぐために、様々なセキュリティ対策をするにしても、セキュリティ対策システムの導入費用や、そのシステムを運用する費用など、やはり様々なお金が必要になってしまいます。
しかし、お金をかけなくても今すぐにでもできるセキュリティ対策もあります。
お金をかけてどこまでセキュリティ対策をするか?については、それはそれで考えるとしても、お金がかからないことなのであれば、やらない理由はありません。
ここでは、今すぐにでも取り掛かることのできるセキュリティ対策として、16の対策をご紹介します。
ファイルの拡張子は「表示する」設定にしておく
Windowsのデフォルト設定では、ファイルの拡張子は表示されない設定になっています。
ファイルの種類など気にしなくても、必要なプログラムが自動的に起動してくれればユーザーフレンドリーだということで、目障りな拡張子は表示しないでおく。というのが、拡張子が表示されないようになっている理由だったわけですが、ランサムウェアなどがはびこる現代においては、拡張子が表示されないことが却って被害に遭いやすい状況を産み出してしまっているのが現実です。
拡張子は「表示する」設定にしておき、見慣れない拡張子が付いたファイルには気が付きやすい状況にしておきましょう。
HTMLメールはテキスト形式で表示されるようにしておく
HTMLメールでは、メール本文に表示されるURLと、実際のリンク先となるURLを異なるものにすることができるため、デフォルトでHTMLメールを表示する選択にしておくと、見た目に騙されて、ついうっかり不正なサイトへのリンクをクリックしてしまう可能性があります。
スクウェアエニックスを騙ったフィッシングメールなどはその代表格といえますが、HTMLメールはテキスト形式で表示するよう、メールソフトを設定しておくと、こうしたメールに騙される前に、怪しいURLが記載されていることに気づきやすくなります。
Officeマクロ文書の拡張子はOffice代替ソフトに紐づけておく
WordやExcelのマクロを悪用したマルウェアはいまだに後を絶ちません。こうしたマルウェアによる被害を防ぐには、マクロ文書ファイルの拡張子を、あえてOpenOfficeなどのOffice代替ソフトに紐づけておくと有効です。
Office代替ソフトではMicrosoft Officeで使えるマクロ(VBA)が動かないので、うっかりマクロ文書を開いてしまっても、マルウェアが実行されない。というメリットを享受することができます。
ダブルクリックでマクロ文書が実行できないのは少々不便かもしれませんが、マクロ文書など滅多に扱わないという部署であれば、これはとても有効な対策と言えます。
ドメイン名のwhoisデータベースは常に最新にしておく
会社であれば、独自ドメイン名でWebサイトを運営していることがほとんどだと思います。独自ドメイン名については、取得者や管理者の情報がwhoisデータベースとして公開されており、情報漏えいなどが発見された場合、警察などが、このwhoisデータベースを参照して連絡をしてくることがあります。
この情報が古かったりして、貴社への連絡がつかないような状況になってしまうことは、とてもまずいことであるので、独自ドメイン名をお持ちの場合は、管理者の情報を常に最新のものにしておき、もし、連絡が来るようなことがあった場合でも、迅速に対応ができるようにしておきましょう。
Windows10への移行を迅速に進める
企業においては、いまもってWindows7やXPが現役。というケースは多いと思います。
Windows10というと、使い勝手などが取りざたされることが多いですが、内部的にはセキュリティ対策に関する設計が刷新されており、Windows7では有効な攻撃も、Windows10では無効化できるというメリットが得られます。
企業向けにはWindows Defender Advanced Threat Protection (ATP)というサービスも提供されていますので、Windows10に乗り換えるだけでセキュリティが強化できるというのは、企業にとっては大きなメリットであると思います。
全社一斉に乗り換えるというのは難しいかもしれませんが、乗り換えられるものから順次乗り換えていく。というのも、考えてみて頂く価値はあるかと思います。
exe形式の圧縮ファイルソフトは使わない
ファイル圧縮ソフトとして、圧縮ファイルの形式がexeファイルになるものを使っている企業も少なくないと思います。また、こうした圧縮ファイルが取引先から送られてくるケースもあるかと思います。
しかし、exe形式の圧縮ファイルを使うことが社内の文化となっていると、exe形式のマルウェアが送られてきても開いてしまう可能性が高くなってしまうため、これは非常に危険と言えます。
exe形式のファイルは業務では扱わない。としておけば、exe形式の添付ファイルが送られてきたら、それは開いてはいけないもの。とすることができるので、マルウェアに感染してしまう可能性を大きく減らすことに繋がります。
ランサムウェアなどが横行している昨今の事情を踏まえ、取引先も含め、exe形式の圧縮ファイルソフトは使わないようにすることをお勧めします。
Officeの警告表示は有効にしておく
WordやExcelなどの文書ファイルをメールでやり取りすると、ファイルを開く際に「編集を有効にするかどうか」ということを尋ねる警告ダイアログが表示されることがあるかと思います。
これがうっとおしいとして、Officeのオプション設定で無効にしている方もいらっしゃるのですが、警告ダイアログの表示を無効化してしまうと、マルウェアが含まれているファイルがあっても警告が表示されなくなってしまうので、これはとても危険です。
もし、あなたの会社内に、警告を表示しないよう設定している方がいたら、警告を表示する設定としていただく事をお願いしましょう。
Offcie2003以前のファイル形式は使用しない
Microsoft Office2007以降、マクロ付きの文書ファイルについては、拡張子の末尾にマクロ付きファイルであることを表すm(.xlsmや.docm)が付くようになりました。
しかし、Office2003以前の形式では、マクロ付きもそうでないものも全て同一の拡張子(.xlsや.doc)となるため、マクロ付きかそうでないかの見分けがつきません。
標的型攻撃メールでは、こうした点を悪用して、office2003以前の形式を使った添付ファイルを送ってくることがあります。
こうした攻撃をかわすには、office2003以前のファイル形式は使わない。という社内ルールにしてしまうことが有効です。office2003形式のファイルでなければ困るということは、今ではそうそうないはずなので、office2003形式のファイルはoffice2007以降の形式のファイルに変換してやり取りするようにすることをお勧めします。
ウィルス対策ソフトのアップデートを常に行う
ほとんどの企業ではウィルス対策ソフトを導入していると思いますが、ソフト自体のアップデートや、パターンファイルの更新は常に行っているでしょうか?
ソフトをインストールしたっきりで、あとは何もやらずにほったらかし。というか、ソフトウェアが勝手に更新してくれるんでしょ。と思い込んでいる方は、意外と少なくありません。
これまで何もやったことがない。という方は、ソフトやパターンファイルが最新かどうかをチェックし、アップデートが確実に行われるよう、設定されているかどうか、確認しましょう。
ウィルス対策ソフトのログを確認する
お使いのウィルス対策ソフトでは、パソコン内の定期スキャンを実行していると思いますが、この結果を確認するようにしているでしょうか?
ウィルスがマルウェアを見つけて駆除してくれたから安心。と思ってはいけません。ここで大事なことは、駆除されたウィルスが見つかった場所です。
メールに添付されていたマルウェアが駆除された。ということであれば良いのですが、見つかった場所がパソコンのC:\Windowsディレクトリの配下など、一時保存ディレクトリでない場合は、既にマルウェアに感染していた可能性が高いことになります。
マルウェアに感染していたということは、情報漏えいなどの可能性を疑わなければならないことになり、駆除されたから安心。などと言っている場合ではなくなります。
マルウェアが駆除されたから大丈夫。などと思う前に、そのマルウェアがどこにあったものなのか?を確認するようにしましょう。
WindowsやMicrosoft Offcieなどのソフトも最新に
ウィルス対策ソフトに限らず、Windows自体や、Microsoft Officeなどのソフトも、常にセキュリティ対策が行われ、ソフトの最新化が図られています。
昨今では、脆弱性情報が公開されたら、すぐにその情報を悪用して攻撃を仕掛けてくる。というケースも少なくありません。
ということは、ソフトウェアのアップデートパッチが公開されたら、すぐにそれを適用しておかないと、脆弱性を突かれた攻撃による被害に遭ってしまう可能性が考えられることになります。
パソコンの台数が多くなると、アップデートパッチの適用も一筋縄ではいきませんが、できる限り最新化を図るようにしておきたいものです。
なりすましメールを防ぐSPFの適用を
標的型メールでは、あなたの会社の社員を装ったメールが使われることもあります。この場合、差出人はあなたの会社のドメイン名を使ったメールアドレスが用いられることになるわけですが、こうしたなりすましメールが送られることを防ぐ方法の一つとして、SPF(Sender Policy Framework)の導入が推奨されています。
SPF(Sender Policy Framework)を導入すると、メールを受信する側で、そのメールが正規のメールサーバから送られてきたものかどうかを確認することができるので、安易ななりすましはできないようにすることができます。
あなたの会社のアドレスが、取引先に対する標的型攻撃メールに使われたりしたら困りますよね。また、社員を騙った標的型メールが自社内に送られてくる。というのもイヤですよね。
独自ドメインによるメールアドレスをお使いの会社でしたら、SPF(Sender Policy Framework)の適用を検討しましょう。
不要なプラグイン・アドオンはWebブラウザから削除を
インターネットではビジネスの栄枯盛衰が非常に激しいため、企業やソフトウェア、サービスの売却というのはよくあることです。
最近ではこれを悪用し、有名なプラグインがいつのまにか買収先によってマルウェア化されていた。ということも起きています。
一度インストールしたソフトウェアやプラグインは自動的にアップデートされることが多いですが、この点を悪用し、自動アップデートによってマルウェアを仕込むというのがその手口なのですが、これをやられると、さすがに防ぐ手立てがありません。
一度築いた信頼を踏み台にした、非常に悪質な手口と言えますが、こうした手口による被害に遭う確率を減らすには、本当に必要なプラグイン以外は使わない。ということです。
もし、過去にあれやこれやと色々なプラグインを入れてそのままほったらかし。という方は、インストールされているプラグインを確認し、本当に必要なもの以外は削除してしまうことをお勧めします。
不要な機器やサービスは止める
あなたの会社にもありませんか?何に使っているのかわからないけれど、ずっと前から運用されているサーバなどの機器類や、サービス。
こうしたほったからしになっている機器などは、誰にも気づかれないということで、攻撃の足掛かりや不正行為の温床となってしまうこともあります。
無用の手間を発生させないためには、業務に必要ないものは止めてしまい、使わないようにするのが一番です。綺麗な環境を常に保つようにすることは、無駄な業務を発生させないだけでなく、被害に遭わないようにするためにも有効なことです。
ネットワーク機器はデフォルトの設定では使わない
あなたの会社では、無線LANルーターのパスワードをメーカーデフォルトの設定していませんか?
機器に詳しくない方だと、買ってきた機器をメーカーデフォルトの設定のまま使っている。というケースもあるかもしれませんが、これはとても危険なことです。
メーカーによっては、全ての機器に同じパスワードが設定されているものもあり、デフォルトの設定のままということは、外部から簡単に利用できてしまうことを意味します。
無線LANの電波は屋外にまで到達するケースもありますので、デフォルトのままでは、社外から簡単に社内のネットワークに入られてしまうことになります。これがどれだけ危険なことかは、言わずもがなでしょう。面倒でも、ネットワーク機器の設定はデフォルトのままとせずに、必ず見直しを行うようにしましょう。
万一、マルウェア感染が発見されたらどうするか?を社内で話し合ってみる
セキュリティ対策をしなければ!と考えている企業は多いと思いますが、万一、マルウェアに感染したパソコンが社内で見つかったり、情報漏えいなどが起こった場合、誰が何をするのか?といったことについて、話し合いの場が持たれていないケースはままあります。
対策も重要ですが、それ以上に大事なことは、今この瞬間に、何か事故が起きたときに、迅速な対処ができうるのかどうか?ということです。
事故が起きて社内が右往左往してしまい、対応が後手後手に回ってしまうなど、二次被害、三次被害が起きてしまったのでは目も当てられません。
こうしたことになる前に、社内で机上シミュレーションしてみる。ということを是非お勧めします。
→次の記事へ( このたった一つの質問で、業者の実力は見極められる )
標的型メール訓練をPDCFAサイクルとして実施するためのイロハをまとめています。訓練実施が初めてという方は是非ご一読下さい。
