ブログ

セキュリティ対策自己宣言一つ星を詳しく見ていく(1/5)

2020年8月15日 | セキュリティ

セキュリティ対策自己宣言は、名称の通り自己宣言です。誰かの認証を受けるわけではありません。また、達成していなくても取り組んでいれば宣言可能です。特に一つ星は5項目しかないので、宣言するだけであれば容易です。

とはいえ、真正面から取り組むことで実際の効果が上がります。

真正面から取り組むべく詳細に見ていくと、社員数が多いと一つ星でもなかなか大変なことが分かります。しかし情報セキュリティはコストセンターであり、えてして予算がありません。
できるだけ低予算としながらも可能な取り組みについて、これから1つ1つ見ていきたいと思います。

桶の理論

セキュリティ対策自己宣言一つ星は5か条を守っている、または守る取り組みを行うことで宣言できます。5か条は次のようになっています。

  1. OSやソフトウェアは常に最新の状態にしよう!
  2. ウイルス対策ソフトを導入しよう!
  3. パスワードを強化しよう!
  4. 共有設定を見直そう!
  5. 脅威や攻撃の手口を知ろう!

なーんだそんな程度か、と言いたいところですが、人数が増えると「これらを徹底する」という、明文化されていない前提が重くのしかかってきます。徹底しなければ、そのほころびから情報漏えいや攻撃が行われてしまうからです。

「桶の理論」と呼ばれるものがあります。

桶は、その板のうち一番低いところまでしか水が入りません。セキュリティ対策も、一番低い板の部分から水が出る=セキュリティの一番弱い部分から情報が流れ出てしまいます。ですので、徹底するということが重要になります。

その1: OSやソフトウェアは常に最新の状態にしよう!

パソコンやスマホのOSを最新にします。Windows Updateをかけ続けるということですね。

パソコンが10台あれば、10台すべてをUpdateし続けなければなりません。
部下に「Windows Updateやっておけよ!」と一言指示すればよい……というわけにはいきません。それでは徹底できません。

予算があれば、WSUSなどの中央管理サーバを用意するのが最も強固です。ただし、最もお金がかかります。中央サーバを運用維持するノウハウと手間もかかります。

費用をうんと下げるのであれば、手作業で一つ一つ見ていくのが最も安上がりです。個人向けのパソコンであれば、Windows Updateの自動化はとても簡単です。しかも0円でできてしまいます。その仕組みに乗っかります。

とはいえ、すべてのパソコン・スマホをもれなく対応する必要があります。
そのため、管理台帳を作り、「これで全部!」と言えるパソコン・スマホのリストを作ります。それらについてOS・ソフトウェアの最新化を行い、Windows Updateの自動化などを施します。

そして、定期的に棚卸しをします。
きちんと最新化されているかを確認し、リストにないパソコンが見つかればその都度台帳に追加・最新化をしていきます。
リストにないパソコンなんてあるのかというと、それなりに出てくるんですね。いつの間にか購入されていたとか。近頃のパソコンは5万円あれば買えてしまいますので、消耗品として購入している場合があります。

逆に、破棄してしまったパソコンも出てきます。これはおおごとになります。本当に破棄されたのか、情報ごと持ち出されたのか、判別がつきません。
台帳管理はこのようなパターンを見つけ出すことができますので、案外と重要な書類です。おっと、Windows Updateとは別の問題ですね。ですが、セキュリティの上で重要なことです。

これらの対応作業は、パソコンの台数が多くなってくると人件費のほうがかかってくるようになります。その時が中央管理サーバ導入を検討すべき時でしょう。
5~10台程度であれば手作業でも十分になんとかなりますので、導入を迷われる段階であれば、宣言時点では手作業に留めておくことをお勧めします。