機密情報や個人情報を取り扱う弁護士事務所や特許事務所へのサイバーアタックが問題になってきています。情報の安全と管理が求められる中、今回は事務所でもできるハッカー対策10のポイントを紹介します。
1. 従業員への教育
情報セキュリティにおいて一番弱いリンクが人間です。ハッカーは人をだましてネットワークに侵入したり、情報を盗んだりするのが常套手段になっているので、まずは従業員の教育をおこない、すでにおこなっているのであれば、より頻繁に、よりいいものにする必要があります。
2. ネットワークやインターネットから切り離されたバックアップ
バックアップデータを頻繁にとっておくのはもちろんですが、ネットワークが感染してしまったときのことを考慮し、ネットワークやインターネットから切り離された独立型のバックアップも定期的に取っておくことをおすすめします。
3. パッチとアップデートをインストールする
パッチやアップデートは発見されたセキュリティホールを「パッチ」するために必要なので、使っているソフトウェアのパッチやアップデートがある場合はすぐにインストールすることをおすすめします。
4. ソフトウェアのアップグレード
サブスクリプション型でなければ、ソフトウェアのアップグレードにはお金がかかります。しかし、古いソフトを使い続けるのはセキュリティの観点からいうとよくありません。
この点で特に注意しないといけないのが、もうサポートが終わっているソフトウェアの使用です。サポートが終わっているということは、今後パッチもアップデートもないので、そのようなソフトウェアを使い続けるのは危険です。
5. 実行ファイルや圧縮されたファイル、身元が特定できない送り先からのメールをブロック
1でも指摘したように。セキュリティにおいて一番弱いリンクは人間です。「メールなどに実行ファイルや圧縮ファイルが添付されていて、間違ってそれらをクリックしてしまう」ということを防ぐためにも、メールサーバ等、従業員のメールボックスにメールが届く前にそのようなファイルが添付されているメールを取り除いたり、添付されている実行ファイルや圧縮ファイルを排除したりすることをおすすめします。そのような危険をおよぼすファイルでも人がクリックできないようにITで対策をすればいいので、このような処置は有効です。
また、同じように身元が特定できない送り先からのメールもスパムフォルダに行くようにするなどのITで行える対策を行うことで、1であげた、人によるセキュリティリスクをある程度改善できます。
6. クラウドストーレージを使っているなら、暗号キーを事務所で管理するべき
クラウド化が進む中、事務所の重要な情報もクラウドで保存しているところも多いと思いますが、契約しているクラウドストーレージサービスの業者が暗号キーの管理を事務所に任せてくれるところがいいです。
暗号キーは、なくしてしまうとクラウドの情報にアクセスできなくなるので、扱いは慎重にしないといけませんが、暗号キーを事務所で管理できないとストーレージサービスの業者がハックされた場合に、事務所のクラウド上の情報にも被害が及ぶ場合があります。
事務所でクラウドストーレージサービスを使う場合、その「管理」が重要になってきます。暗号キーの管理が慎重におこなう必要がありますが、暗号キーの管理を事務所に任せてくれるベンダーがおすすめです。
7. クライアントが求めるセキュリティレベルにあったプログラムを作る
最近では、お客さん側から情報管理の条件を提示してくることも増えました。クライアントが求めるセキュリティレベルに達していないと、仕事すら依頼されない時代がもうすぐ来るでしょう。
8. リモートアクセスの制限とモバイルアクセス制限
リモートアクセスのルールを明確にして、外部からデータにアクセスできる方法を制限しましょう。このような制限があると、外からデータにアクセスするには「手間」がかかるため従業員にはあまり印象はよくありませんが、そこは理解を求めていく必要があります。
また、スマートフォンなどのモバイル端末からのアクセスも同様に制限を加えていくことと、ルールを明確にして、モバイル端末からアクセスする必要のある従業員に十分な教育をおこなう必要があります。
9. ログデータを記録できるようにする
ログを取っておくことで、データブリーチがあった際、どのような経緯でブリーチがおこったのか分析することができます。ログデータをとっていないと、ブリーチがあったことすらわからないことがあるので、いざという時の調査のために、ログデータは重要なデータになります。
10. 情報の共有
業界全体がサイバーセキュリティに取り組むことが大切なので、同業者同士で積極的に情報共有をすることが重要です。お互いに知恵を振り絞ることで、よりレベルの高い情報セキュリティがおこなえるようになります。
まとめ
今回紹介した10ポイント以外にも考慮する点はいろいろとあると思います。しかし、今回紹介したポイントは事務所単位で効果的な情報セキュリティ対策をおこなっていくために不可欠なものなので、ハッカーによって被害が出る前に上記のポイントを参考にして個々の事務所にあった情報セキュリティ対策をおこなっていくことをおすすめします。
まとめ作成者:野口剛史
元記事著者:Taylor Armerding. CSO(元記事を見る)