第1回 社内のコンピュータが加害者に――ウイルスやボットのリスク：会社を強くする経営者のためのセキュリティ講座（3/3 ページ）

[萩原栄幸，ITmedia]

たったの“4分”で……

　ボットの感染調査ではもう1つ大きな事実が判明しました。それは、未対策パソコン（例えばウイルス対策ソフトがインストールされていないPC）をインターネットにつなぐと、平均4分でボットに感染する危険があったということです。当時、この事実を聞いたというある研究者が「それはひどいと思うが、そんなことはないだろう」と話したそうです。しかし自身でも調べたところ、わずか3分で感染してしまい、大変驚いたという逸話もあります。

　ここでは何を注意すべきでしょうか。まず個人で購入したばかりのPCを、すぐにインターネットにつなぐのは慎んでください。必ず同梱されているウイルス対策ソフトをインストールすることから始めます。期間限定版や無料のウイルス対策ソフトでも構いません。まずインストールしてからインターネットにつなぎ、最初にメーカーのWebサイトで最新版にアップデートしてください。

　企業では、購入したPCについて社内で決められた手順に従って対策をすることになります。PCごとにウイルス対策ソフトのインストールする場合や、サーバで幾重にも対策を施してPCには対策をしないという場合もあるでしょう。ぜひ、現場の担当者にどういう状況かを尋ねてみてはいかがでしょうか。

判断すべきこと、現場に任せること

　最後にコンピュータウイルスのようなセキュリティリスクについて、経営者としての注意事項を紹介します。

1. ウイルス対策を含めたトータルのリスク分析がされているかを確認します。していないならプロジェクトを組成し、会社全体のリスクマネジメントについて、それぞれ分野の専門家と相談しながら、評価していきます
2. ウイルス対策に関して、会社のPCのさまざまな形態によって個別のPCには対応がされていない状況もあります。接続形態ごとに標準の対応策をきちんと文書化しておくことが肝要です
3. 「個人のPCまで考慮する必要がない」という技術者もいますが、自宅のPCからの情報漏えいが毎月発生しているのも事実です。啓蒙活動を徹底することで、社員の意識が高まります。プライベートでもセキュリティを考えてPCを利用するようになるものです
4. 具体的な対応について、創業者が現場の取り組みに口を挟んでいるシーンを何度か見かけたことがあります。これでは現場の担当者が委縮してしまいます。方針やポリシーの大まかなところは経営者が決めても、現場が関わる内容は監査や調査の結果で確認するようにしましょう。経営者が判断するのは控えるように心掛けてください

萩原栄幸

一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント（システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名）として活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。

過去の連載記事一覧はこちらから

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら