最近では、少なくとも何かを売ったり買ったりする中で、コンピューターは欠かせないものとなっています。小さなパン屋さんでもコンピューターを業務に使っていたりしますし、スマートフォンなどのモバイルデバイスについて言えば、誰でも使っている不可欠な存在です。したがって、これから事業を始めようとするなら、最新のテクノロジーを活用できなければ立ち行きません。この記事では、事業を開始したばかりの組織の中で見られがちな、サイバーセキュリティ関連の「危ないこと」を8つほど取り上げます。
1. パスワードを付箋に書く
残念ながら、そうする人は今でもいます。職場の人たちで共有しているパスワードをメモした付箋がコンピューターの画面に貼られていると、ちょっと立ち寄った外部の人が見てしまうかもしれません。その結果どうなるのかは、どのパスワードが知られてしまったのか(Webサイトの管理用パスワードなのか、会計システムのものか、顧客データベースが保存されたコンピューターのパスワードか)によって異なりますが、よくあるのは情報や金銭が盗まれるパターンです。
対策:事務所内にある全部のコンピューター、そして従業員一人一人のコンピューター、それからスマートフォンやタブレットに、それぞれ違ったパスワードを設定して保護します。推測されやすいパスワードを選んでしまったり、パスワードの使い回しやパスワード忘れが起きてしまったりしないように、パスワード管理ツールを使用すると良いでしょう。
2. パスワードを共有する
パスワードは人に教えないで!他の人より多くのものにアクセスできる社員が、自分の都合で、または必要に迫られて、他の人にパスワードを教えてしまうことがあります。たとえば、こんな風に。「○○さん、すみません。今日は風邪でお休みをいただいているのですが、例のファイルが私のコンピューターにあるので、私のコンピューターから××部長に送っていただけないでしょうか?ログインパスワードはこちらです」。その後で○○さんが、とても円満とは言えない形で会社を去ったとしたら?○○さん自身のパスワードはすぐに無効化されるかもしれませんが、○○さんは他の社員のログイン情報を知っています。これが大事に至るかもしれません。
対策:社員に対してパスワードのセキュリティの重要性を強調し、可能な限り2段階認証を使用します。
3. 単純なパスワードを使っている
今度はパスワードの強度についてです。メールアカウントのパスワードが「password123」のような単純なものだと、処理能力がそこそこの家庭用コンピューターを使って約6秒で解読できてしまいます。これが経理担当者のメールアカウントだったら、大変なことになります。「MyPaSsWoRd123」のようなパスワードの場合は解読に2日かかりますが、それでも安全だとは言えません。しかし、「P’@’s’s’w’0’r’d」のようなパスワードであれば、1万年以上かかります(データセンターレベルのコンピューティング能力を使えるのであれば話は別ですが)。パスワードに総当たり攻撃を仕掛けてくるサイバー犯罪者も、さすがにそこまで時間をかける余裕はありません。
対策:同じパスワードを使い回すべきではありませんが、そうすると覚えられなくなってしまいます。記憶しやすくするためのルールを作るか、パスワード管理ツールを採用しましょう。ただ、複雑なパスワードでも破られることはあります。万一の場合に備えて、可能な場合は必ず2段階認証/2要素認証を有効にしてください。
4. バックアップを取っていない
何かのデータベースや会計の記録など、なくなっては困る情報というものがあります。PCの中に保存されているかもしれませんし、サーバー上か、ほかの場所にあるかもしれません。念のため、そうした重要なファイルを定期的にコピーし、バックアップとして他の場所に保管しておきましょう。バックアップしてあれば、ハードディスクが故障したり、サーバーがマルウェアに感染したりした場合も、データを失わずに済みます。Webサイトも、定期的なバックアップが必要です。
確かにバックアップは面倒な作業で、つい後回しにしがちです。それでもバックアップを取ること、それも頻繁に行うことは、本当に重要です。というのも、いつなんどき緊急事態が発生するか、誰にも予測がつかないからです。見回り中の守衛が電源タップを引っこ抜いてしまった、会計システムのデータベースが保存されているハードディスクが故障した、マルウェアのせいで重要なファイルが開けなくなった、そんな事態は突然やってくるのです。今の守衛さんはとても用心深い人かもしれませんが、別の人に替わった場合はどうでしょうか。会計部門のコンピューターは全部最新モデルかもしれませんが、どんなハードディスクにも寿命はあります。サーバールームの天井を通るパイプが破裂したらどうなるでしょうか。想定できる事態に対して準備することはできますが、不測の事態はどうにもなりません。
対策:重要なデータのバックアップを取り、ファームウェアとソフトウェアをすべて定期的に更新しましょう。これで、少なくとも部外者のネットワーク侵入を許すようなシステムとソフトウェアの脆弱性の数を、最小限に抑えることができます。バックアップには、バックアップ用の製品を使用してください。当社のセキュリティ製品であるカスペルスキー スモール オフィス セキュリティには、バックアップを安全に自動で行う機能が備わっています。
5. アクセス権を放置する
時に、社員と会社が良好ではない形で袂を分かつことがあるものです。たとえば、Webサイトの開発者が感情を害して退職し、そのときにサイトの一部を消去してしまうかもしれません。社員の退職時にアクセス権を取り消すことは不可欠ですが、それ以前に、社員に付与するアクセス権は、仕事に必要な範囲に留めておきましょう。
対策:社員の退職、異動、解雇の際には、アクセス権をすぐに確認し、必要に応じて取り消しや移行を行ってください。
6. 既定の設定をそのまま使っている
パン屋さんでもカフェ経営でも、ルーターは必要です。そのルーターは、正しく設定されているのでしょうか?プロバイダー(ISP)の担当者は「ネットにちゃんと接続できること」を最優先にする場合が多く、ISP側の設定を入力しておしまい、ということが多々あります。しかし、管理用のログインIDとパスワードを既定のままで使用していると、実質的に誰でもネットワークに接続できてしまいます。そうなると、ルーターがハッキングされてボットネットに追加されるだけでは済まないかもしれません。たとえば、トラフィックを監視するツール(「スニッファー」と呼ばれる)を誰かにインストールされてしまったら、せっかく複雑なパスワードを設定してあっても、通信内容が丸見えになってしまいます。要するに、ルーターなどのネットワークデバイスでは、既定の設定を変更する必要があります。ルーター以外のデバイスでも、同じようにするとなお良いですね。
対策:ルーターとネットワークを適切な設定にします。最低限、管理者名とパスワードは既定のまま使わず、別のものに変更してください。また、ネットワークで使用する暗号方式はWPA2に設定し、ルーターのリモート管理は無効にしてください。ファームウェアのアップデートが公開されているかどうかを確認して、利用できるものがあればインストールしましょう。
7. ウイルス対策をしていない
「自分の会社(店)くらいの規模では標的にはならない」と考えたくなるものですし、そう考えている人も実際います。「自分は危ないWebサイトを見に行ったりしないから、悪いことは起きない」「Macを使っているからマルウェア(ウイルスなどのこと)には感染しない」などと考える人もいます。思慮を働かせるのは良いことですし、マルウェアに狙われる機会の少ない比較的安全なシステムを使うのも良いことです。しかし、従業員みんながそうでなければなりませんし、マルウェアは数ある危険の1つでしかありません。マルウェア以外では、少なくともフィッシング詐欺については対策が必要です。フィッシング詐欺とは、実在する正規のWebサイトにそっくりな偽サイトにアクセスさせ、パスワードやログインIDを入力させてその情報を盗むという詐欺です。フィッシングの危険はMacでもWindowsでも同じですし、会社や団体から重要な情報を盗むためにフィッシングがしょっちゅう使われています。
対策:定評のあるセキュリティ製品をインストールしましょう。定義データベースやソフトウェアのアップデートを自動的に確認し、自動的にインストールするように設定してください。小規模企業のニーズに合わせたカスペルスキー スモール オフィス セキュリティには、フィッシング対策機能が備わっており、ログイン情報などのデータを盗む目的で作られたWebページへのアクセスを防止します。
8. 従業員に情報が行き渡っていない
サイバーセキュリティの第一歩は、問題のあることを理解することです。セキュリティに関する最新情報を知っていなければ、目の前の問題について声を上げることはないでしょうし、そもそも気付くかどうかというところです。大きな問題があると気付くことができれば、上出来です。ただし大切なのは、一緒に働く人たち皆に情報を行き渡らせること、それも分かりやすく、すぐに行動に移せるような方法で伝達することです。伝わっていない人が1人でもいたら、そこがセキュリティ上の弱点となってしまいます。
対策:従業員に対してサイバーセキュリティのトレーニングを実施します。新入社員に対しても、入社後すぐに実施してください。セキュリティの基本として、少なくとも以下を押さえておきましょう。
- 知らない人から来たメールの添付ファイルを開けない
- リンク先を確かめずにリンクをクリックしない
- 機密データの保存には信頼できるクラウドサービスを使い、2段階認証/2要素認証を設定する
- 信頼できないサイトや違法サイトからソフトウェアをダウンロードしない