年末だからこそ見直したいセキュリティ対策：TrendMicro Presents（1/4 ページ）

何かと慌しい年末だが、いまこそ、自社のセキュリティ対策を見直すのに絶好の時期だ。見落としがちだがウイルス対策に不可欠な要素とは……。

[黒木直樹（トレンドマイクロ 上級セキュリティエキスパート），ITmedia]

　年の瀬が近づくと何かと気忙しく、慌ただしくなるものだ。

　この時期、年越しの準備や年賀状、お歳暮と、誰にとっても考えなくてはならないことがたくさんあるが、とりわけ企業のIT部門担当者には大きな課題が残されている。企業のITインフラを預かる立場として、年末年始をいかに安全に乗り切るかということだ。筆者の経験上、セキュリティインシデントは年末年始に多く発生している。それをどのように予防し、いざ有事の際にはどの程度迅速に対応できるか――IT担当者にとっては頭の痛い問題だ。

　年末に最低限システム管理者が行うべきことは、以下の8項目にまとめることができるだろう。

各種サーバやPCへのセキュリティホールを確認し、対応の修正プログラムを適用してセキュリティホールをふさいでおく。 使用しているウイルス対策製品の製品バージョン／検索エンジン／パターンファイルを最新のものにする。 パターン更新スケジュールをできるだけ短い間隔に設定し、不在時の不慮の新ウイルス発生に備える。 ファイルサーバやグループウェアサーバなど、重要な情報が保存されているコンピュータについて、手動ウイルス検索を行う。 重要なデータやサーバはバックアップを取る 不必要なサービスは停止し、使用しないコンピュータは電源を落とす。 社外からでも最新のウイルス情報を入手できるように無料ニュース等の申し込みをしておく 万一のウイルスアウトブレーク時の体制について、あらかじめ緊急連絡網・情報システム担当決裁者・対応事項などをマニュアル化し、情報共有しておく

　しかし、これだけでよいのだろうか。逆に言えば、この時期に従来のセキュリティ対応を見直し、必要に応じて適切な対策を講じておくことは非常に有効だ。年末年始休暇時の対策にとどまらず、将来にわたって企業のITインフラを守ることにつながるだろう。

　もはや「ITセキュリティ対策」「情報セキュリティ対策」というと語り尽くされた感があるが、セキュリティの脅威は日々増大し、変化している。この記事では、日常生活におけるセキュリティとの対比を織り交ぜながら、企業のITセキュリティのあるべき姿を見直してみたい。

社内の理解度を把握

　まずは、会社内のセキュリティに関する取り組みや理解がどの程度なのかを知る必要がある。

　大半の企業ではセキュリティポリシーの策定やファイアウォール、ウイルス対策製品の導入といった対策を講じているが、果たしてそれは実効性のあるものだろうか？　IPA/ISECなどのセキュリティ機関はたびたび「不審な添付ファイルは実行しない」といった基本的な対策を呼びかけているが、そうした警告が個々のユーザーに浸透しているだろうか？

　こうした事柄を検証するのに効果的なのが、既に数社がサービス提供を行っている「ウイルス予防訓練サービス」（図1、2）である。各企業の環境に合わせてカスタマイズを加えた形で疑似ウイルスを社内に送信し、それを受け取った社員の行動を専門ツールで分析し、さらなる対応強化に役立てるものだ。

図1●ウイルス予防訓練サービスのイメージ図

図2●ウイルス予防訓練サービスをその後の改善に反映

　たとえばファイアウォールなどのセキュリティ機器についても、専門のセキュリティ企業に依頼し、自社への攻撃テストなどを通じて脆弱性の診断を行う場合がある。導入したファイアウォールの設定やネットワーク構成などを見直し、有効に動作しているかどうかを確認するためだ。しかし、「ウイルス予防訓練サービス」はそれらとはちょっと異なる。機械ではなくユーザー、すなわち人間を対象に行われるからだ。

　セキュリティ対策の中でもユーザー教育／啓蒙は重要な役割を担っている。いかに大規模で最新のソリューションを導入しても、日々業務に携わっているユーザーの理解と協力なくしては、それらの機能は十分に発揮されず、セキュリティ対策も不完全なものに終わってしまう。

　このことは、日常生活に照らし合わせると分かりやすいだろう。自宅にホームセキュリティを導入した場合を考えてみてほしい。

　使用者であるあなたは、外出時や就寝時にはホームセキュリティ機能を「ON」にし、その間は「安心」を感じることができる。万一何者かが自宅への侵入を試みても、ホームセキュリティ機能が働き、侵入者を威嚇し、防御してくれるはずだ。それでもなお侵入を試みられたとしても、通報機能により、すぐさま警備会社から警備員が駆けつけてきてくれる。若干のタイムラグがあるかもしれないが、たいていは警報が鳴り響き、犯行は未遂に終わって大事に至らないはずだ。

　しかし、このホームセキュリティは完全なものなのだろうか？　考えてみてほしい。たとえば、もしホームセキュリティ機能を「OFF」にしている在宅中に、近所の人を装った不審者が訪ねてきたら？　あるいはホームセキュリティ機能がONであっても、セキュリティ対策か施されていない窓や扉が残っていたら？

　通常はホームセキュリティを導入する前に、セキュリティ会社から「この窓や扉には対策が必要」「あの窓にはアクセスがないから必要ない」といった具合のコンサルテーションを受ける。だが偶然にも隣家で壁面工事が行われ、通常ならばアクセスできない2階の窓の向かいに足場が設置されていることがないともいえない。こう考えていけば、たとえこうしたシステムを導入したとしても、必ずしも完全とは言い切れないだろう。

　しかしこうした問題は、使用者が何が安全で、何に危険が潜んでいるかを正しく理解し、日々気を配り続けることで解決できる。ホームセキュリティはあくまで、それらを補完し、より安全を高めるためのツールなのだ。

肝心なのは「人」に対する教育

　先に示した「ウイルス予防訓練サービス」は、企業内のユーザーが「何が安全で、何に危険が潜んでいるか」を正しく理解しているかどうかを確認できるツールである。

　個人情報保護法の全面施行などを控え、セキュリティポリシーやツール、セキュリティインシデントに関する社内勉強会が行われている企業も多いはずだ。その場ではいったん理解できたとしても、それぞれの持ち場に戻れば自分の仕事が待ち構えている。残念ながら、日々の業務に取り紛れ、せっかく学習した内容が薄れてしまうケースは多い。

　そもそも彼ら彼女らにとって、ITインフラはそれぞれの業務を果たすツールに過ぎない。したがって、業務とはかけ離れたところでセキュリティインシデントを説明しても、なかなか理解してもらえない。