概要編で述べた項目について、その具体例を述べます。
【PCを守る】各PCのOS(Windows)のセキュリティセンターの各機能を有効化する
(パーソナル)ファイアウォール
パーソナルファイアウォールの機能を有効化すると必要の無いポート(出入り口)が締められ、不正なアクセスから守ることが出来ます。しかし、使用するアプリケーションソフトによっては、そのソフトが使用するポートを開けることがあり、また、設定を変更すればポートは簡単に開けることが出来ます。むやみにポートを開けてしまい、そのままにしておくとファイアウォールの意味がなくなってしまいます。
また、ネットワークの境界上にもファイアウォールは必須です。通常、ルータに簡易的なファイアウォール機能が盛り込まれているので、とりあえずは、この機能が有効になっていれば、通常は問題ありません。しかし、上で述べたように、これも設定が変更されると穴が開きますので、注意が必要です。
自動更新(アップデート)
これもOSの自動更新を有効化(自動更新の設定で「自動(推奨)」にチェックがあることを確認)しておき、Microsoft社からOSのアップデートが実施されると、自動的にアップデートしたプログラムがダウンロードされ、インストールされます。また、自動更新では以前は、OSだけの自動更新(Windows Update)が実施されていましたが、今では、WordやExcelを含めたOffice製品を含む自動更新(Microsoft Update)が実施されています。
ウィルス対策ソフト(企業用一元管理機能)
PCを購入すると、少しの間無料で使えるウィルス対策ソフトが入っていたりします。個人利用では、これをそのまま使い、後は年間の更新料を払っていく使い方で問題はありません。しかし、企業で利用するには下記のような問題があります。
- 各PCがばらばらのウイルス対策ソフトを使用していると管理が難しい
- 各PCに毎年の更新時期に更新の作業および支払の手間がかかる
- 各PCのウィルス対策ソフトが正しく稼動しているか、実際にウィルスを検知したか等把握するのが難しい
これらの問題に対応しているのが、企業用のウイルス対策ソフトです。(各メーカーによって呼び方が違うのですが、コーポレートエディション等で呼ばれている)しかし、企業用のウイルス対策ソフトの多くは、ウイルス対策ソフトを管理するためのサーバが必要とされ、このサーバを稼動する初期費用、運営費用(およびその専門知識)が必要となり、中小企業ではなかなか導入が難しい問題になります。その中で、中小企業向けとして、ASP(SaaS)型の企業用ウイルス対策ソフトが出ています。
- Macafee社 McAfee Total Protection Service
- 大塚商会 セキュリティワンコインサービス(Trendmicro社 ウイルスバスター ビジネスセキュリティを利用)
これにより、インターネット上の各社のサイト上で自社のウイルス対策ソフトの状況が一元管理できます。費用は、個人向けのウィルス対策ソフトより多少高くなりますが、管理の手間を考えれば十分利用価値があります。
【データを守る】情報セキュリティの三大要素である、機密性・完全性・可用性を維持する対策
データのバックアップ(可用性対策)
データを定期的にバックアップすることは、万が一、PCの故障やウイルス感染などにより、データが使えなくなったときの必須対策となります。
各自でデータをバックアップすれば良いのですが、人間のすることですので、どうしても忘れたり、面倒になって実施しなくなる恐れがあります。ファイルサーバにデータを一元化し、このファイルサーバを定期的にかつ自動的にバックアップすることを技術的に解決することが重要です。
ここで、ファイルサーバにLAN接続型ハードディスクを採用すると、メーカーによって細かい違いはありますが、ファイルサーバの内容を定時刻に丸ごとコピーしてくれる機能があるので、これを利用します。
- I/Oデータ社 Giga LANDISK(HDL-GXRシリーズ) 等
- バッファロー社 ネットワーク対応HDD(NAS)LS-HGLシリーズ 等
他にも、 RAID機能(ハードディスクの二重化・並行処理技術)を持ったLAN接続型ハードディスクのラインナップなどもあります。
また、各PCのデータをバックアップするには、下記の様なソフトを(定時刻に自動)起動させ、ファイルサーバにバックアップさせます。
- BunBackup(フリーソフト)
データのアクセス制御(機密性・完全性対策)
データは重要なデータであればあるほど、見てほしい人と見てほしくない人が分かれます。フォルダにアクセス制御(ユーザIDにより、読書きできる人を選別する)をつけることが大事です。上記で解説したLAN接続型ハードディスクにもアクセス制御機能が付いているので、これを利用するのが便利です。しかし、当然ながら、ユーザIDとパスワードの管理が十分にされていないとアクセス制御の意味を成さないので注意が必要です。
このように便利なLAN接続型ハードディスクですが、パスワードの管理をもっと厳しく運用したいとき、例えば、定期的にパスワードを変更したい、ログインが5回失敗したら接続させないようにしたい(ロックアウト)等のことを実施しようとすると、役不足になります。この様な要望には、Windows ServerシリーズにあるActiveDirectory機能を利用することで対応します。(当然、初期投資や運用費用、それなりの知識が必要になってきます)
データの暗号化(データが自社内から出たときの機密性対策)
社内であれば、一応はアクセス制御機能により、機密性が保たれているのですが、これを持ち出すとき(メールでの送信、CD-RやUSBメモリでの持出、ノートPCでの持出)は、暗号化することが重要です。
暗号化するためのソフトには下記のようなものがあります。
- アタッシェケース(フリーソフト)
- Lhaplus(圧縮・解凍用フリーソフト):ZIP形式の圧縮ファイルにパスワードの付加が可能
(解凍するのにパスワードがつけられるだけなので、暗号化とは違いますが、メールの添付ファイルなどには顧客とのやり取りでもよく利用される)
しかし、ついつい暗号化するのを忘れて持ち出したりしてしまうので、下記の様なUSBメモリにデータを保存するだけで自動でデータが暗号化するUSBメモリを利用する(かつ、その様に社内で運用する)事をお勧めします。
- I/Oデータ社 ED-Eシリーズ
- バッファロー社 RUF2-HSCLシリーズ
また、ノートPCの持ち出しなどでは、ハードディスク全体を暗号化するソフトなどを購入し、暗号化を実施しておく必要があります。
【人・組織の対策】技術的な対策では対応できない、個人単位または組織とし実施すべき対策
規程(ルール)と教育
各自が守るべき情報セキュリティ上の決まりをまとめ、各自に認識してもらう必要があります。したがって、決まりは規程として文書化(それほどかしこまらない方がよいならばルールブック等)し、これを教育します。例えば下記のようなルールを定めます。
《○○会社 情報セキュリティルール》
1.業務用PCは下記注意を守り適切に管理すること
①業務に関係しないHPの閲覧をしない
②業務に関係しないメールのやり取りをしない
③ソフトをインストールするときは管理者に許可を取る
④ログオンするためのID、パスワードは厳重に管理する
⑤個人管理の重要な情報は定期的にバックアップを取っておく
⑥許可を得ずに他人のPCやデータファイルを操作しない
2.会社の情報資産を持ち出すときは、管理者に許可を取ること
3.私物のPC等の持込は禁止する
4.セキュリティに関する事故が発生したら、管理者に連絡すること
5.重要文書、媒体(FD等)を破棄するときは、シュレッダー等に
かけること
単に決まりを手渡しただけでは、情報セキュリティなどに縁の無い人は、どうしてこの決まりが必要なのかがわからない人が多いため、その背景を説明する必要があります。
対策実施状況のチェック
以上のようなセキュリティ対策を定め、実施しても、数ヶ月するといろいろな問題が発生しているはずです。この問題をそのままにしていては、セキュリティ対策も穴だらけです。実施状況をチェックし、問題点を洗い出し、見直しをする必要があります。
組織の様々な管理システムでは、PDCA (Plan-Do-Check-Act)サイクルを回すことが重要です。すなわち、Check、Actのステップを実施し、再度、セキュリティ対策を計画(Plan)して実施(Do)し、これを繰り返すことが重要です。
そして、 徐々にセキュリティのレベルを上げていくようなセキュリティ計画をたてて行くことも検討しましょう。
