法人PCのセキュリティ対策 基本ポイント6選
コロナ禍により急速に普及したリモートワーク環境で起こりうる
セキュリティリスク
近年、ランサムウェアをはじめとしたサイバー攻撃の多様化や高度化が進み、多くの企業では対応を迫られています。特にコロナ禍でリモートワークが普及したことで社外ネットワークからのアクセスが増え、あらゆる攻撃への対策が必要とされています。
本章では、リモートワーク環境において、注意が必要なセキュリティリスクについて解説していきます。
リスク1:休眠パソコンの脆弱性を突いた攻撃
コロナ禍では、生産ラインの停止や半導体の需要増加に伴い、パソコンを入手できないという状況が発生し、これまで使用されていなかった休眠パソコンの利用が増加しました。
しかし、休眠パソコンは何世代も前のバージョンを利用しているケースもあり、セキュリティ対策が万全でないケースが多いです。このような休眠パソコンの脆弱性を突いたサイバー攻撃が多発しているため、早急な対応が必要です。
リスク2:ランサムウェアによる攻撃
リモートワークに関するサイバー攻撃の中でも「ランサムウェア」による被害が多くなっています。IPA(情報処理推進機構)が発表した情報セキュリティ10大脅威の中でも1位となっているランサムウェアは、感染した端末のデータを暗号化して利用できない状態にしたうえで、解除と引き換えに身代金を要求するマルウェアです。メールやWebサイト、VPN機器など、利用者の業務に直結する経路やリモートアクセス時の入口から感染するため、特に注意が必要です。また、近年では二重脅迫型ランサムウェアにより、身代金を払わなければ窃取した情報をWebサイト上に暴露すると脅迫される被害も出ています。
リスク3:導入ソフトの脆弱性を狙った攻撃
先述したようにサイバー攻撃の多様化や高度化が進んでいるため、最新のソフトウェアであってもセキュリティの脆弱性を突かれる可能性があります。昨今では、ゼロデイ攻撃という、セキュリティホールが発見されてから修正プログラムが配布されるまでのわずかな時間に攻撃を仕掛けるケースも多発しています。
また、リモートワークの環境下では社内への注意喚起スピードが出社時よりも遅くなりやすいため、リスクがさらに大きくなってしまいます。
リスク4:フリーWi-Fiや公衆回線利用による情報漏洩
リモートワーク環境ではフリーWi-Fiを用いて、勤務先のネットワーク環境へアクセスすることもあります。しかし、このようなフリーWi-Fiは通信内容が暗号で保護されていないケースも多く、悪意のある第三者に盗み見されるリスクがあります。また、個人の公衆回線もセキュリティ対策が十分とは言えないため、利用時には注意が必要です。
次章では、リモートワークが普及している昨今の労働環境を踏まえ、改めてセキュリティ対策で押さえておくべきポイントをご紹介していきます。
法人PCのセキュリティ対策 基本ポイント6選
セキュリティ面のリスクを最小限に抑えるための基本的な対策を6つご紹介していきます。
1:安全なログインパスワードの設定
パスワードを設定することは基本中の基本ですが、近年ではパスワードの解析技術も発展しており、第三者に推測されにくいパスワードの設定が重要です。具体的には、生年月日など自身に関係のある文字列を避け、無作為に選んだ任意の英数字にすることが挙げられます。また、パスワードを複数のサービスで使いまわさない、多要素認証を活用するなどもおすすめです。
2:セキュアな無線LANの利用
テレワークの普及に伴って社外の公衆無線LANを利用する機会が増えています。 誰でも利用できる無料の公衆無線LANは、第三者によって通信内容が傍受される危険性があるため、公衆無線LANを利用する際には信頼できるネットワークか、セキュリティ保護がされているかをよく確認するべきでしょう。
3:OSやソフトウェアの最新版へのアップデート・バージョンアップ
セキュリティの脅威は多様化や高度化しており、対策も日々改善されています。 その一環としてベンダーはOSやソフトウェアを随時更新しているため、新たな脅威に対処するためには常に最新版へのアップデートやバージョンアップを行うことが重要です。
4:セキュリティソフトの導入
先述したOSやソフトウェアの更新に加え、セキュリティ対策(ウイルス対策)ソフトの導入も必須です。 ポイントとして、ウイルス対策ソフトのインストール後は定義ファイルを常に最新版にしておくことが挙げられます。
セキュリティソフト選定の際には、標準的なウイルス検出・駆除の機能だけではなく、ファイアウォールやフィッシング詐欺対策など、サイバー攻撃からPCを防御する機能が備わっているか確認を行いましょう。
また、テレワークのようなリモートアクセス下では、ファイアウォールを経由しない通信もあるため、EPPやEDRといった、端末自体の情報を保護できるエンドポイントセキュリティも重要です。
5:OS・ソフトウェアのサポート期限の把握
OSにはサポート期限があり、バージョンが古いものだとサポート期限が迫っている可能性が高く、サポートの期限が終了するとセキュリティ更新プログラムの提供がなくなってしまいます。セキュリティの脆弱性が改善できなくなってしまうため、OSのサポート期限を把握しておくことが必要です。
また、OSのサポート期限だけでなく、ソフトウェアのサポート期限も同様に把握しておくことが重要です。
6:定期的なバックアップの取得
ウイルス感染によって重要なデータの破損や消失が起こる可能性があります。そのようなときでもスムーズに復元できるように、定期的なバックアップ取得と確認が重要です。
たとえば、近年流行しているランサムウェア「Emotet」などのマルウェアに感染してしまっても、バックアップを取っておくことで感染前の状態に復元が可能となり、データの消失を回避できます。
また、ランサムウェアに対応しうる理想的なバックアップ方法として、「321ルール」があります。これはデータのコピーを3つ保管し、2種類は異なる媒体でバックアップ、1つは異なる場所(オフサイト)で保管する方法です。
次章では、このような対策を行う際に情シス担当者が抱えやすい課題についてご紹介していきます。
情シス担当者のセキュリティ対策における3つの課題
情シス担当者のセキュリティ対策における主な課題は以下3つが挙げられます。
人員・コストが限られている
情シス担当者はセキュリティ対策だけでなく通常業務も抱えているため、人的リソースが足りない企業も多いです。実際に、総務省の「情報通信白書」によると、日本企業の約9割がセキュリティ対策に従事する人材が不足していると言われています。
出典:総務省第1部 5Gが促すデジタル変革と新たな日常の構築 「第4節 5G時代のサイバーセキュリティ」
また、セキュリティ対策は直接企業の売上に繋がらず、投資対効果が評価されにくく、限られたIT予算に対して十分な割り当てを実施できていないことも問題視されています。
知識やスキルを得るための時間が取れない
日々多様化や高度化しているサイバー攻撃に備えて万全のセキュリティ対策を取るには、新たなスキルや知識を得る必要があります。しかし、情シス一人当たりの業務負担が大きい現状では、時間を確保することが困難です。
また働き方改革が進むことで、従業員の業務負担軽減が求められ、知識やスキル取得のための十分な時間を確保することはますます難しくなっています。
社内に相談する相手がいない
セキュリティ対策に従事する人材不足によって、社内にセキュリティに関する知見を持っている人材が少なく、セキュリティについての相談をできる人がいないという課題もあります。
今後は、経営層がセキュリティ対策の重要性を認識し、専門的な知識を持つ担当者の任命や教育の充実などによって相談できる人材確保が重要と言えます。
次章では、上記のようなセキュリティ対策を取りたくても間に合わない企業に対して、アウトソーシングによって適切なセキュリティ対策を実施する選択肢についてご紹介していきます。
セキュリティ対策を含め法人PC運用管理全般のサポートを行う
「Wave PC Mate」
Wave PC Mateは、ハードウェアの提供から運用管理・撤去までのPCライフサイクル全体を通したトータルアウトソーシングサービスです。セキュリティ対策に関してもウイルス対策ソフトの定義ファイルなどを更新するための配布環境を提供しています。
確実なセキュリティ維持の実現に加えて、顧客に最適な法人PCの提供をしながら、PCのセットアップや障害時のリカバリー対応を行うことが可能です。
また、一元窓口を設けているため、利用者様の相談から課題解決までを一貫してサポートします。
このようにPCに関わる運用業務をトータルにアウトソーシングできるため、情シス部門の業務負荷を減らし、課題解決を実現します。
- Wave PC Mate 運営事務局
- Wave PC Mateは、NTTデータ ウェーブが提供するハードウェアの調達から導入、運用管理、撤去・廃棄までのPCライフサイクルマネジメントのトータルアウトソーシングサービスです。本サイトでは、法人企業のPC運用管理業務の課題解決に役立つ様々な情報をお届けします。