2017 年 2 月 1 日 編集部記事

セキュリティに役職は関係ありません。すなわち、全社員が部門やスキルに関係なく、情報セキュリティの実現において、役割を果たすことができます。大企業には、全社ネットワークやデータのセキュリティを担当する専任のセキュリティチームが存在する場合が高いでしょう。しかしながら、セキュリティ侵害の防止、検知、軽減においては、ネットワーク管理者や IT 担当者も重要な役割を果たします。中小規模企業や分散型企業の支社においては、実際には、セキュリティ関連の問題がネットワーク管理者や IT 管理者に一任されることになるでしょう。適切なトレーニングを実施することで、小規模企業 の IT 担当者やネットワーキング担当者は、ネットワーク経由で拡散し、権限を不正に手に入れ、データを流出させようとするマルウェアを検出し、防御できます。

そこで今回は、あらゆる IT 部門が実施すべき、会社全体のセキュリティを向上させるための重要なヒントをご紹介します。

全社員を教育する

疑わしいメール、Web サイト、ダウンロードに十分に注意するよう、全社員に周知します。多くのマルウェアが、ユーザにリンクをクリックさせたり、アプリケーションをダウンロードしたり、電子メールの添付ファイルを開いたりすることで拡散します。四半期ごとに教育セッションを開催して、疑わしい動きの特定方法と危機的状況が発生した場合の対処方法を従業員に教育することをお勧めします。IT 部門の担当者が管理職の支持を得て、このようなセッションを実施するようにします。

パッチがデータと同様に重要であることを理解する

新しいマルウェアが報告されると、ソフトウェアやハードウェアのベンダーが、セキュリティの脆弱性を解決するための製品やサービスのパッチを公開します。IT 担当者は、これらのパッチを適用して、すべてのソフトウェアを最新の状態に保つようにする必要があります。Microsoft は、毎月第 2 火曜日にセキュリティパッチをこちらで発行しています。Apple のセキュリティアップデートはこちらから、Adobe のセキュリティアップデートはこちらから入手できます。IT 部門は、会社のネットワークにインストールされているアプリケーションを見直して、ビジネスクリティカルではないものがあれば削除することで、潜在的なセキュリティホールを排除する必要があります。IT 部門がパッチ適用の通知を毎月発行し、全従業員に各自のデバイスとソフトウェアを常に最新の状態にするよう呼びかけると良いでしょう。

ネットワークをセグメンテーションする

システム管理者やネットワーク管理者は、ビジネスネットワークのセグメンテーションによって、重要なシステムを隔離する必要があります。この対策を実施すれば、マルウェアがネットワークに侵入したとしても、重要なシステムにアクセスしたり影響したりされることはありません。また、APS や APT のスキャンソリューションを可能な限り実装し、マルウェアを特定するようにします。専任のネットワーク管理者やシステム管理者がいない組織では、IT 担当者やマネージドサービスプロバイダがこの役割を果たすことになるでしょう。

ネットワークアクセスを制御する

ネットワーク管理者は、アクセス制御リストを使用して、ネットワークの各エリアに必要な従業員だけがアクセスできるように制限する必要があります。この場合も、専任の管理者がいない小規模の組織では、IT 担当者がこの役割を果たすことになるでしょう。

ウォッチガードの CTO、Corey Nachreiner のビデオで、最新のパッチとセキュリティニュースのデイリーセキュリティバイトをご覧ください。