企業の情報セキュリティ部門に携わる方々には、必ず頭に入れていただきたいテーマがいくつか存在します。
情報セキュリティ部門の知識が不足していると、企業全体ひいては取引先や顧客にまで被害が及ぶ可能性があるため、注意してください。
今回は、特に知っておきたい6つのテーマについて解説します。
なぜ企業への迷惑メールは減少しないのか?
企業の業務を妨害する要素の1つに、“迷惑メール”が挙げられます。
また、世界中の企業が迷惑メールの被害に遭っているにも関わらず、これらの件数は年々増え続けています。
その理由としては、企業が第三者にメールアドレスを教えていないにも関わらず、送信業者に取得されてしまうことが挙げられます。
取得方法としては、まず各企業のホームページやSNSなど、ネット上に掲載されているメールアドレスを取得する方法が挙げられます。
企業は迷惑メール対策として、ネット上に公開するメールアドレスは、公開専用に取得したものに変更しなければいけません。
その他、運営元をきちんと確認せず、アンケート等のサイトに応募している企業も、知らず知らずのうちに送信業者にメールアドレスを教えてしまっていることがあります。
推測されにくいパスワードは?
攻撃者による企業への不正ログインも、迷惑メールと同じく後を絶ちません。
また、不正ログインの被害に遭う企業は、設定されたパスワードに問題がある可能性が高いです。
具体的には、推測されやすいパスワードを設定している可能性があります。
逆に、以下のような推測されにくいパスワードを設定している企業は、必然的にパスワードリスト攻撃などの被害に遭いにくくなります。
・ランダムな文字列
・文字数が多い(8文字以上)
・複数の文字を組み合わせている(アルファベット、数字、記号など)
・他ですでに使用しているパスワードとかぶっていない
情報セキュリティ研修はどう行うべきなのか?
情報セキュリティ部門は、上層部を交えて従業員の情報セキュリティ研修を実施しなければいけません。
企業では、部署や職種にかかわらず、ほぼ全員の従業員がパソコン等のデバイスを用いて、メールや業務システムなどで業務を行っています。
よって、情報セキュリティ研修がなければ、企業全体のセキュリティレベルはアップしません。
また、情報セキュリティ研修の対象者ですが、これには正社員や派遣社員、契約社員や常駐の外部スタッフなど、業務に関連するすべての人物を含めるのが望ましいです。
そして、セキュリティ研修は定期的に実施するとともに、流行したウイルスなどがあれば適宜実施することも必要です。
内部不正を行う人物で多いのは?
ある意味企業にとってもっともダメージが大きいものは、ウイルス感染などではなく、“内部不正”による機密情報の漏えいでしょう。
企業の一員に不正を働かれると、情報セキュリティ部門は何を信じれば良いのかわからなくなってしまいます。
また、内部不正を行う人物としてもっとも多いのは、“正社員の中途退職者”です。
中でも、技術情報などを競合他社に転職する際の手土産にしたり、腹いせに顧客データを名簿事業者に売ったりするケースは散見されます。
よって、情報セキュリティ部門は、USBポートの無効化や、内部不正を抑止する仕組み(操作ログ収集、ファイル追跡など)を徹底的に整備しなければいけません。
必要な無線LANの情報セキュリティ対策は?
企業のオフィスでは、無線LANが使用されるのが一般的です。
しかし、無線LANは利便性が高い反面、数々のセキュリティリスクが潜んでいるため、注意しましょう。
例えば、窓や外壁付近にアクセスポイントを設置すると、電波の範囲内にあるどのデバイスでも電波を受信できてしまい、第三者から攻撃を受けるリスクが高まります。
よって、この場合は電波出力を調節するなどして対応しましょう。
また、その他の無線LANにおける情報セキュリティ対策としては、無線IDS/IPSの導入、電波状況の監視、アドホックモードの利用制限などが挙げられます。
サポート詐欺への対策は?
Webサイトを閲覧していると、突然ブラウザにサポート詐欺とおぼしき警告画面が表示されることがあります。
この場合は、ブラウザを終了し、警告文を無視することをおすすめします。
逆に絶対にやってはいけないのが、以下の3つの行動です。
・警告画面に表示されたサポート手順に従う
・パソコンの使用を中止し、表示されているサポートセンターに電話する
・警告画面で指定されたウイルス対策ソフトをインストールする
警告画面が表示された時点では、まだ企業のパソコンは特に被害を受けていません。
しかし、サポート手順に従って情報を入力したり、電話をかけたり、ソフトをインストールしたりすると、それらが引き金となって情報漏えいに繋がるおそれがあります。
まとめ
ここまで、企業の情報セキュリティ部門が知っておきたい6つのテーマを見ていただきましたが、いかがでしたでしょうか?
今回解説したテーマは、情報セキュリティ対策における基本中の基本です。
何事も基礎から固めることが肝心ですので、セキュリティ担当者の方などは、自身の知識と合致しているかを再確認しておきましょう。
