中小規模の企業の場合、ITセキュリティの専任部門を持つことが必ずしも採算に合わないことから、インフラ全体の監視が1人に任されることもしばしばです。常勤の正社員ではない人に任されることもあります。
優秀な管理者は多くのことをこなせますが、その道のプロであっても、特に問題が山積みで時間が足りない場合には、何かを見逃す可能性があります。そのため、重要な作業を習慣化することには、それに見合う価値があります。ここでは、定期的に確認すべき5つの項目をご紹介します。
1. 企業Webサイトのセキュリティ証明書を更新する
ユーザーデータを要求したり処理したりするWebサイトには、SSL証明書が必須です。これは、Webサイトに入力された情報が傍受されないように保護するためのものです。今どきのブラウザーのほとんどは、SSL証明書を持たないWebサイトにアクセスすると、「このWebサイトは安全ではありません」という警告メッセージを表示します。これでは見込み客が怖がって逃げて行ってしまうかもしれません。
あなたの会社のWebサイトはおそらくSSL証明書を導入済みだと思いますが、証明書には有効期限があります。認証機関によって異なりますが、3か月ごと、6か月ごと、または12か月ごとに再発行してもらう必要があります。証明書の更新を忘れないように、カレンダーにリマインダーを設定しておくことをお勧めします。
2. ルーターのファームウェアをアップデートする
ソフトウェアは、古ければ古いほど脆弱性を持つ可能性が高くなります。そこで、すべてのソフトウェアを最新の状態に保つことが非常に重要です。ワークステーションのOSやアプリケーションの場合、アップデートがインストール可能になると、通知が表示されるものです。それでも、重要なパッチを適用しそびれるのが心配な場合には、最新の脆弱性および脆弱性修正パッチを追跡するサブシステムを備えた当社の法人向け製品をご利用ください。
そうは言っても、アップデートが必要なのは社員のコンピューターだけではありません。ルーターにも、組み込みのソフトウェア(ファームウェア)があります。こちらも同じように年が経つほど古くなり、脆弱な状態になります。サイバー犯罪者が、古いファームウェアを悪用して会社のネットワークに侵入するかもしれません。小規模企業や個人向けのルーターは、ファームウェアが古くなっても通知してくれないため、アップデートは手作業で行う必要があります。
したがって、会社のネットワーク機器をすべてリストアップし、少なくとも数か月に一度は、ルーターのファームウェアの新バージョンが登場していないかどうか管理コンソールをチェックすることが重要です。管理コンソールにアップデートをチェックする機能がない場合は、メーカーのWebサイトへ行って調べる必要があります。機器のサポートが終了している場合には、脆弱性の修正がもう行われないので、機器の取り替えを検討してください。
3. 不要な権限を無効にする
社員が解雇された場合、その社員のアカウントや会社ネットワークへのアクセス権をすぐに無効にしておかないと、さまざまな問題が起きる可能性があります。前の雇い主に対するサイバーリベンジは、現実の問題です。このような事態を避けるため、解雇の後ただちにすべてのアクセス権を無効化するのをルール化しましょう。
このほか、アカウントとアカウントにひも付く権限も、すべて定期的に監査しましょう。たとえば、ある人が別の部署へ異動になったとき、異動先では必要ないアクセス権が取り消されないままになっていた、というような事態も考えられます。サイバー攻撃を受けたとき、必要のない権限のために大きな損失が生じる可能性があります。
4. バックアップを取る
データのバックアップを取っておくと、データを消し去ってしまうマルウェア(ワイパー)やランサムウェア、社員のうっかりミスなど、さまざまな危険からデータを守ることができます。バックアップは手作業でもできますが、自動バックアップを設定しておけば手間も省けます。
しかし、データのバックアップを自動化しても、データストレージの確認は定期的に行う必要があります。バックアッププログラムは問題なく動作しているか?ストレージのアドレスに間違いはないか、誰かがこっそり変更していないか?データを保管する十分な容量があるか?ストレージデバイスは正常に動作しているか?最近のデータストレージデバイスはS.M.A.R.T.テクノロジーが搭載されており、このテクノロジーを使ってデバイスの問題を自己診断し、寿命を予測します。
バックアップをクラウドに保管している場合は、設定を定期的に確認し、容量が足りなくなる前に容量を追加購入しておきましょう。
5. サーバー向けセキュリティ対策ソリューションのライセンスをアップデートする
ワークステーションやモバイルデバイスにインストールされているセキュリティソフトウェアの場合、ライセンスの更新時期が近づくと通知が表示されるので、更新時期を逃すことはまずありません。しかし、サーバーにインストールされたセキュリティソフトウェアのこともお忘れなく!サーバーが保護されていない状態だと、データ漏洩が起きるかもしれませんし、悪意あるコンテンツが密かに置かれたり、こっそりと仮想通貨マイナーが仕掛けられて勝手にマイニングが行われたりと、さまざまな問題につながりかねません。サーバーを保護するセキュリティソフトウェアのライセンス更新を忘れないように、カレンダーにリマインダーを設定しましょう。
会社のセキュリティはあなたの手の中に
セキュリティに関しては、定期的かつ徹底的にチェックを行っても、やりすぎということはありません。これらのチェック項目を、ぜひ習慣としていただければと思います。
- ソフトウェアを定期的にアップデートする。ルーターなどネットワーク機器のファームウェアも同様にアップデートしましょう。
- セキュリティ証明書やセキュリティソフトウェアのライセンスの有効期限に気をつける。
- データをバックアップする。バックアップ処理を自動化している場合は、正しく機能しているかどうか定期的にチェックしてください。
- 社員の持つアクセス権が不要になったときには、速やかに無効化する。
- 企業インフラの健全性やステータスの監視に役立つセキュリティソリューションを使用する。