マレーシアの日系中小企業の経営者さまで、こんなお悩みはないですか?
・会社のITセキュリティに不安がある。
・知り合いの企業がサイバー攻撃を受けたらしいが、ウチは大丈夫だろうか?
・取引先のお客さまから情報セキュリティレベルの強化を求められたが、どこから手を付けていいのかわからない。
今回はこのようなお悩みを持つ経営者の方へ向けて、ローコストですぐにできるセキュリティ対策をご紹介いたします。
最低限おさえておきたいセキュリティ対策になりますので是非ご参考にしてください。
2023年に企業で発生した情報セキュリティの主な被害
IPAが公開した2023年に発生した「社会的に影響が大きい」と判断した企業部門の上位5位です。
ランサムウェア、サプライチェーン攻撃といった常連脅威が毎年ランクインされています。添付ファイル付きメールやなりすましメールによる古典的な方法も依然として多くの被害情報が報道されています。
【出展】IPA(情報処理推進機構)による「情報セキュリティ10大脅威2023」
情報セキュリティ10大脅威 2023 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
あなたの企業も他人事ではない?!実際の事故事例
情報セキュリティ対策を怠ることで企業が被る不利益とは?
≪事例①≫ ランサムウェアに感染した!
社内で管理するファイルサーバがVPNを通じてにランサムウェアに感染。ファイルサーバが暗号化される被害が発生した。社内の情報システムが使用できなくなり、1カ月の時間を費やして業務を復旧させたが取引先への見積もり対応などが遅れたことにより顧客との信頼関係が喪失してしまった。
≪事例②≫ ビジネスメール詐欺による被害
社内の営業担当者のメールアカウントがハッカーに乗っ取られ、やり取りしている顧客向けの請求書に関するメール内容が盗聴された。ハッカーが営業担当者になりすまし請求メールを作成、支払い側に偽の振り込み口座を伝え、金銭を振り込ませた、顧客に多額の金銭の損失が発生。その結果、顧客からの信頼喪失につながってしまった。
このようなセキュリティ事故は、情報セキュリティ対策を経営者が軽視した事が大きい要因と考えられます。
情報セキュリティの事故を起こすことにより、顧客や取引先との信頼を喪失、取引先が離反し業績悪化する可能性も起こりえます。情報セキュリティ対策は中小企業の経営者がトップダウンで取り組む必要があります。
マレーシアで中小企業がやっておくべきセキュリティ対策7項目
セキュリティ対策のシステムを導入する際には、「多層防御」という考え方が大切になります。セキュリティ対策は単なるコストではなく、チャンスでもあります。
適切なセキュリティ対策を取ることで取引先からの信頼度が向上し、他社との差別化や社員の安心感にもつながります。
できるところから1つ1つ導入していきましょう!
①OSやソフトウェアは常に最新の状態にする
お使いのOSやソフトウェアに修正プログラムを適用する、もしくは最新版を利用しましょう。
OSやソフトウェアのセキュリティ上の問題点を放置していると、それを悪用したウイルスに感染してしまう危険性があります。
ハッカーは、既に世間にしられたセキュリティの穴をついてきます。Windows7やInternet Explore、古いバージョンのAdobe Readerなどサポートが終了しているものは絶対使わないようにしましょう。
※インストール済みのソフトが最新バージョンかをチェックするツール「MyJVNバージョンチェッカ」で確認できます。
MyJVNバージョンチェッカのサイト⇒https://jvndb.jvn.jp/apis/myjvn/vccheckdotnet.html
②統合型のセキュリティ対策ソフトを導入する
リアルタイム検索、スケジュールスキャンなどが搭載された多機能なセキュリティ対策ソフトの導入をしましょう。ウイルス定義ファイルは必ず自動で最新の状態にしておくことが重要です。
近年セキュリティ対策ソフトは「クラウド管理」ができるようになっており、インターネットに繋がっていればいつでもどこからでもデバイスの状態を確認することができます。ライセンス更新やトラブル対応による管理費用を抑えてセキュリティ対策を行うことができて、ITの担当者がいない場合でも手間なくセキュリティ対策を行うことが可能です。
③2段階認証を導入する
パスワードは可能な限り長く複雑なものを設定してください。家族の名前や生年月日、電話番号などは避けて、英字(大文字、小文字)、数字、記号を複雑に組み合わせることをお勧めします。
最近はセキュリティ強化のため「2段階認証」が使えるサービスも増えてきています。ウェブサービスなどにログインする際、ID とパスワードの入力以外にSMSによる認証やスマホアプリによるセキュリティ コードでの追加認証を行うことです。
本人以外が不正にアクセスすることを防止し、セキュリティを強化します。まだ設定していない場合は必ず設定しましょう。
④ファイル共有設定の見直し
ファイル共有サービスやクラウドストレージサービスのファイルは、アクセス権限のある人だけに適切にアクセス権が付与されているか確認しましょう。
本来アクセスしてはいけない人がアクセスできるようになっている場合、アクセス権の変更や共有設定の見直しを早急に行いましょう。
▶具体的な対応項目
•ファイルサーバやNASのフォルダの共有設定のアクセス権の見直し。
•クラウドのファイル共有サービスの設定の見直し。
•スタッフ毎にユーザーIDを作成して管理。
•Active Directory(AD) やEntra IDの構築を行いユーザー認証設定。
•スタッフ退職時や異動時に設定の変更に漏れがないようチェックリストを作成。
⑤データのバックアップ
会社の大切なデータはどこに保存していますか?「パソコンの中だけ」「サーバの中だけ」では、非常に危険です!ウィルス感染したり、ストレージ機械が壊れるとデータが消失してしまいます。
最近トレンドになっている「クラウドバックアップ」では、クラウド上にデータを複製・保管してバックアップデータの取得および世代管理が行えます。
万が一PCやサーバー上のオリジナルデータが破損した場合でも、クラウドサーバーから簡単にデータを復旧することができます。
⑥セキュリティレベルの高いメールサービスへの変更
古いメールシステムの場合、メールのデータがパソコン端末内にしか保存されず、パソコンがウイルス感染や故障をした際には全てのメールデータが失われてしまう恐れがあります。
Microsoft 365 Exchange Onlineなどのクラウドメールサービスを利用すると、メールデータがクラウド上に自動で保存されるため手間なくバックアップを取ることが可能です。
マルウェアおよび迷惑メール対策フィルタリング機能を搭載したセキュリティレベルの高いメールサービスです。ウィルス被害や情報漏洩は、メールによる被害が非常に多いので、メールのセキュリティをしっかり行うと非常に効果的です。
⑦UTM(セキュリティ機能付きのルーター)の導入
UTMとは、インターネット上のあらゆる脅威へのセキュリティ対策をオールインワンで行う機器です。
最近のサイバー攻撃は、メールやホーがムページなどを利用したインターネットからの侵入が多くみられます。ウィルスが社内に侵入してしまうと、社外とやり取りした際にウィルスをばらまいてしまう危険性もありますが、UTMがあれば防ぐことが可能です。また、サイバー攻撃をされていないか、業務に不必要な活動がないかなどを監視することも可能です。
UTMを導入した企業の中には、業務に関係ないサイトや動画サイトの履歴が見つかったという事例もあります。
マレーシアですぐにできるセキュリティ対策はカワテックにお任せください!
近年、働き方の変化によって企業のネットワーク構成は複雑化し、サイバー攻撃は巧妙化しています。情報セキュリティ対策は片手間で行えるものではなく、相応のスキルやノウハウが必要です。
社内の情報セキュリティ管理者の採用や育成が難しい方、お困りの方はぜひカワテックまでご相談ください。
パソコン修理はカワテック マレーシア|日系企業のITサポート(my.kawatec.com)
最新のセキュリティ対策サービスを知りたい方はこちら!
以前のM-townの記事内で紹介しております。
2023年11月08日号 vol.413 (mtown.my)