前回のまとめ

前回の記事では、中小企業でのインフラ整備がますます進む一方で、様々な問題からサイバー攻撃対策に力を入れることが出来ない現状と、実際の事故例や被害の甚大さを紹介しました。
今回は中小企業向けに、比較的導入しやすいと思われるセキュリティ対策をいくつかご紹介したいと思います。

セキュリティ対策(お手軽)

OSやソフトウェアを最新の状態に保つ

基本的なことですが重要です。Windowsでは第2水曜日あるいは第3水曜日にセキュリティの更新プログラムが配布されます。ソフトウェアはアップデートの通知が出ますので、適宜更新すると良いでしょう。

簡単なパスワードは使用しない

「12345」「abc123」「password」といった推測されやすいパスワードは使用すべきではありません。この様な脆弱なパスワードは即座に解析される可能性があります。大小の英字と数字、記号を組み合わせ可能な限り長くすると良いです。また、LastPassなどのパスワード自動生成、管理ソフトの使用もおすすめです。

ウイルス対策ソフトを導入する

こちらは1クライアント当たり年間1万前後で導入できます。フリー版もありますが、大抵は機能が制限されているため、有料版を導入すべきです。こちらも定義ファイルをアップデートしておくことでスパムや最新の既知のウイルスを防ぐ事が可能です。アンチウイルスだけでなく、ファイアウォールなど一括で管理できる製品がおすすめです。

ファイルの共有設定の見直し

社内インフラや複合機などを導入している場合、アクセス権限の設定を見直すだけでも効果があります。不要なサービスの公開や社内でのアクセス権、複合機ではICカードによる認証や印刷データの管理などを見直す事により、部外者にサービスや機器を使用させない設定にすることが重要です。

よくある事例、攻撃者の手口を知る

サイバー攻撃を経営リスクとして捉える事が重要です。日頃から脆弱性情報を収集し、攻撃に対する対応策を文書化しておくなど、事前対策を練る事で、攻撃を受けた際にレスポンシブな対応が可能となります。また、攻撃者の振る舞いや手口を知ることで、攻撃の予兆や些細な変化に気づき、ダメージコントロールも可能となるでしょう。

この続きは次回の更新にて。

引用/参考文献
https://www.ipa.go.jp/files/000055516.pdf