配信日:2022年12月23日
発行元:ラウンドナップ・Webコンサルティング
代表取締役 中山陽平
URL:https://roundup-inc.co.jp/
こんにちは、ラウンドナップWebコンサルティングの中山です。
普段外に出していない個人のメールアドレスにも、フィッシングメールが来るようになり、いろいろ思いをめぐらせる日々です。
iOSみたいに、メインがあって、使い捨てのアドレスを発行できるのが良いのかもしれません。そして年末はフィッシングメールが増えますのでご注意下さい。ブラックフライデー辺りもかなり増えていたようですね。
[22/11/26]Black Fridayはフィッシングに要注意、偽サイト多数
https://roundup-inc.co.jp/nakayama/podcasts/podcasts-15508/
OpenAIのChatGPTがその応答がまるで人間だと話題になっているように、いずれスパムも見分けがつかなくなると思われます。そういう所に最新技術は使われますので。
AI問題の中であまり語られませんが、今後どうやってフィッシング始めスパム攻撃から逃げるかは喫緊の大きな課題ではないかと思うところです。
相当のお金が持っていかれていると思います。ランサムウェアにかかったことを内々にしている会社も結構あると思いますので。
なかなかこれについては、私も特定の企業さんとつながりがないのでお勧めができません。
自分で自信を持ってお勧めできないと、紹介できないので…。
なので、今回はひとまず国のガイドラインの中で、便利そうな物を紹介したいと思います。
年末前ということで、マーケティングや戦略という攻めの部分の話題ではなく、あえて守りの部分、セキュリティの話題をお送りしたいと思います。
まずはIPA( 情報処理推進機構 )のサイトをチェック
こちらのサイトをご覧下さい。ちょっと文字が小さいので見づらい方はブラウザ拡大してご覧下さい。
中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構
パソコンでトラブルがあると、マーケティングも巻き込まれて予算や風当たりが悪化したりするので、そういう意味でもここは守りたい部分ですね…後は兼務している方もいるのではと(1人情シス件マーケなど)
1.情報セキュリティ5箇条
まず、これは付録の1なのですが「情報セキュリティ5箇条」これを先に見て頂くと良いかもしれません。
https://www.ipa.go.jp/files/000055516.pdf https://www.ipa.go.jp/files/000055516.pdf
抜粋すると
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
です。これだけで十分かと言えば例えばフィッシングなどへの対策としては足りていませんが、とは言えこの5つをやるだけでもかなり違いますね。
ただこれだけだと、まだ曖昧な部分があるので、もう少し具体的にしていきます。
それぞれを3〜4個に分けてみました。ポイントは判断をできるだけ人に投げないことです。
ちなみにIPAのハンドブックに事例としてこんな物が載っています。
ウイルス感染により基幹システムが一週間停止
(所在地:静岡県/業種:製造業/従業員規模:51 ~ 100 名)従業員がメールに添付されていたウイルス付きのファイルを不用意に開いたことで感染し、基幹システムで障害が発生した。システムベンダーの協力を得て障害対応を行ったが、復旧するまでの一週間、基幹システムが使用できなくなった。原因は不審メールを受信した際の対処方法を詳しく教育していなかったことである。その後、朝礼などを利用して従業員へ情報セキュリティ教育を行うとともに、迷惑メール除去ツールを導入した。
1週間基幹システムが止まって、被害額は分かりませんが他の類似事例だと1000万〜3000万です。
これは特殊な事例ではなく、結構よく聞く事例です。また、金銭的被害だけではなく、低下した社会的信用の回復には時間がかかるので、それ故に事業の存続が困難になる場合も。
2.私の考える具体的チェック項目
- 1−1:Windowsは全部11でアップデートは即導入、特に外回りの方のノートパソコンに注意
- 1−2:Windows最新版で動かなくなる社内システムは組んではダメ・選んではダメ
- 1−3:Officeはパッケージ版ではなく即バージョンアップできるMicrosoft365、マクロは最低限で
- 1−4:WebでWordpressやMovableTypeなど自分でバージョンアップが必要な物は即対応ないし外に管理を任せる、面倒ならWixなどサービス提供側がやってくれるものを
- 2−1:ウイルス対策ソフトの各機能をオフにしている人がいないかチェック
- 2−2:ソフトのデータは毎日最新版に
- 2−3:Androidなら社用携帯にもウイルス対策ソフトとVPNは入れる
- 2−4:個人持ち込みのPCは極力排除ないしきちんと設定管理
- 3−1:パスワードは、パスワード管理ソフトに一任、自分で覚えるという作業をさせない
- 3−2:その上でできるだけ複雑で、サービスごとに異なるパスワードを
- 3−3:個人のアカウントへのログインは会社では禁止
- 4−1:1人1人で買ってルールが横行していることが多い、きちんとルールを決める
- 4−2:設定方法は、文字では伝わりづらいので動画がオススメ
- 4−3:1ヶ月に1度程度、全部出なくて良いので何件かランダムチェックする
- 5−1:セキュリティ関連のニュースチェック担当をつける、いなければ外注する
- 5−2:何が堂なのかという所はさておき「今何が危険性が高いのか」「流行っているのか」だけきちんと伝える
- 5−3:おかしいと思ったときに、誰に相談するか決めておく
- 5−4:重要なデータは定期的に、ネットに繋がっていないところにバックアップする
ここまでできていると、もちろん100%ではありませんが、だいぶ違うのではないかと思います。
ランサムウェアで病院の機能停止のニュースなどありましたが、見えないところで何倍もおこっているはず。中小企業も大企業も関係ありません。もろいところが狙われるだけなんです。
3.IPAがおすすめする、さらに細かいチェック項目
実はIPAでももっと細かく項目を準備しています。被っている部分もありますが、そこはより重要だと考えて頂ければと思います。
付録3: 5分でできる!情報セキュリティ自社診断(全8ページ、1.9MB)をご覧下さい。そして3ページ目にある診断を現状で行ってみて、その上でやるべきことをやった後に再度行って、ぜひセキュリティレベルがどれくらい上がったかをレーダーチャートなどにして比較して頂ければと思います。
また、この中にある項目の中にはツールで自動的に出来ることもあります。
できるだけ人間が判断しなくても良いような姿を目指して下さいね。
4.社内にどれくらい情報があるか把握する
そして次は「付録7: リスク分析シート(全7シート、99KB)」というエクセルです。これは順番に入れていくと、対策検討・実施の要否が分かり、さらに自分たちがどれくらい漏えいさせてはいけない情報を持っているかが見えてきます。ちょっと分かりづらい部分もありますが、順番にシートを入れてみて下さい。
やや悲観的に入力するくらいがちょうど良いと思います。現状から想定されるリスク欄に、情報資産ごとに「脅威の発生頻度」「脆弱性」「被害発生可能性」「リスク値」が表示されます。結構自分たち持っているな!というケースが多いと思います。
URLがながいので以下からダウンロード下さい。
https://www.ipa.go.jp/security/keihatsu/sme/guideline/
…このガイドブックを紹介しているとキリが無いので、大まかにはこの辺りで1度終わりたいと思います。
ぜひ続きをご覧下さい。
https://www.ipa.go.jp/files/000055520.pdf
その上で最後にP10のこの言葉を…「原則1:情報セキュリティ対策は経営者のリーダーシップで進める」今の時代の経営者の仕事の1つということです。会社を守るための。誰か社員に投げて終わりと言う形にしないことを強くお勧めしたいです。
