出張で情報セキュリティセミナー

　先日、お客様先に呼ばれて社員の方数名を対象に情報セキュリティーのセミナーをしました。

 

　総務担当者、営業責任者、営業担当、事務員さんなど6名でしたが、みなさん立場が違えば要望が違うので有意義なセミナーになりました。

 

　当然と言うか、総務はしっかり守りたい、営業は不便にはして欲しくない、事務員は難しくして欲しくない、みんなの意見が揃うのは安い方がいいと言う点だけでした。

 

　今回は1社相手でしたので、使っているソフトやPC、サーバ、スマホの現況を聞きながら、絶対に必要な機器やソフト、やってはいけない使い方、毎日やらなければいけないことなどを具体的に話させていただきました。

 

　ブログに載せる了解をとったので、内容を一部紹介したいと思います。

 

　お客様の業種は建築関係で、従業員は10名余り、忙しいときは応援の職人さんが入りますが各現場には必ず社員さんを1人は配置しているということです。

　スケジュールはホワイトボードに書いていて、PCは従業員全員に1台ずつ、スマホは個人のものを使用。

　全員パソコンに詳しくない、仕事で写真が必要なため画像を加工するフリーソフトをダウンロードすることが多い。

　仕事が終わった後、自由にネットでショッピングサイトやグルメサイト、ニュースなどを見ることが多い。

　データの共有はBUFFALOの家庭向けNAS（2ドライブ）を使用していて、NASのバックアップは特に取っていないけど、同じファイルが誰かのPCにはあるはずということでした。

　ホームページとメールは独自ドメインを取得してレンタルサーバで運用しています。

 

 

　中小企業によくあるケースというか、そのままモデルケースと言ってもいいかもしれません。

 

 

　最大の問題点は、PCのセキュリティソフトがマチマチで、無料のWindows Security Essentialsや買ったときについているマカフィーが入っていて期限が切れていたり、フレッツ光のセキュリティツールが1台だけ入っていたり、何も入っていなかったりとありました。

 

　ESET ファミリーセキュリティ3年版を3つ購入してインストールすることを提案。法人向けのESET ENDPOINT PROTECTIONでもいいのですが、ADVANCEDは高い（初年度7万、更新4万以上）、STANDARDは機能面で問題（迷惑メール対策、ファイアウォールがない）があるので、15台～20台までならファミリーセキュリティで十分だと思います。

 

　ここは人によって意見が分かれるところですが、法人向けと個人向けでは個人向けの方が多機能でマルウェア（ウイルス）の検出力には大差ないというのが私の見解です。

　当社もファミリーセキュリティを使っていますので、問題はないと思っています。

 

 

 

　次の問題はフリーソフトをダウンロードする、しかも勝手に、という点です。
　これはセキュリティポリシーを作って守ってもらうしかありません。セキュリティポリシーと言うと難しく聞こえますが、簡単に言うと決め事です。

　パソコンを使う上でやってはいけないことを決める、そして守ってもらう。それだけです。

　どうやって守ってもらうかは、社長さんに任せるしかありません。罰則を作るか、強く注意するか、自発的に守ってもらうかくらいしかありませんが、今回はとりあえず自発的に守ってもらうことになりました。

 

　決め事は、いたってシンプルです。

　・フリーソフトや動画を勝手にダウンロードしない

　・ネットで何かを見る前には、セキュリティソフト、Windows update、adobeソフトなどが最新の状態に更新されているか確認する。

　　MyJVNバージョンチェッカ for .NETを利用してもらいます。

　　バッチファイルで自動実行させてもいいのですが、意識してもらうために手動実行にしました。

　　こちらからダウンロードできます。

　　http://jvndb.jvn.jp/apis/myjvn/vccheckdotnet.html

　・用のないサイトを見ない

　・メールやネットの広告やリンクをむやみにクリックしない（クリックする前に考える）

　・「何かおかしいな？」と思ったら、隠さずに報告する

 

 

　最後に会社のWifiを社員のスマホに使わせているので、スマホ用のSSIDを作成して社内ネットワークと分けてしまうようにしてもらいました。

　Buffaloの無線ルーターでしたが、ちょうどその機能がついていました。

 

　セキュリティ対策としては以上で完了です。

 

 

 

　スマホの管理をMDMでしますか？と聞いてみましたが、「個人のスマホやし、写真と電話帳くらいやからええわ」ということでしたので、スマホには何もしてません。

　面倒がらずにパスワードロックだけはかけて下さいねと伝えるにとどまりました。

 

 

 

　総務担当者がUTM（統合脅威管理）を他社から薦められているとおっしゃっていましたが、「御社にはUTMで守るべきものがない」ので入れても入れなくても同じですと答えておきました。

 

　今のUTMの大半は、HTTPSの通信を監視していません。だからネットバンキングには全く意味がありませんし、グーグルでの検索表示もhttpsになっているので意味がありません。

　またZIPファイルも監視できていないことが多いです。

　マルウェア（ウイルス）もUTMで検知できるものはPCのセキュリティソフトでもほぼ100%検知できます。

　社内にwebサーバやメールサーバを設置して外部に公開している企業は絶対に必要ですが、webサーバがあっても社内だけで運用している場合は必要ありません。

 

　UTMを入れていたから感染を防げたということが全くないことはないので、入れる価値はゼロではありませんが、費用対効果を考えると薦めにくいかな？と思います。

　それならログ監視ソフトですね。これのログを確認して変なexeファイルが動いているのを見ている方が役に立つような気がします。

 

 

　当社では毎週木曜日13時30分～15時に少人数で参加型の情報セキュリティ実践対策セミナーをしています。

　お一人からでもご参加いただけます。

　こちらのページからお申込みいただくか、直接メールでも受け付けています。

 

 

　出張セミナーも随時行っています。

　原則交通費のみでお伺いしますので、希望される方はお気軽にお問い合わせください。

　

※無いとは思いますが、同業（OA機器販売業など）の方はご遠慮ください。