企業のセキュリティはかつてないほど重要になっています。中規模企業から大企業まで、データ侵害は日常的に発生しています。しかし、たとえ個人経営の小さな会社であっても、危険から逃れられるわけではありません。すべての企業は、データセキュリティを常に念頭に置く必要があります。
会社のセキュリティを強化するために、どのような対策を講じることができますか?高価な機器を購入する必要がありますか?場合によっては必要ですが、必ずしもそうとは限りません。あなたや会社に半年分の予算をかけずに実行できる対策はいくつかあります。ここでは、費用対効果の高い方法で会社のセキュリティを強化する10の方法をご紹介します。
1: アップデート、アップデート、アップデート
サーバーやデスクトップのアップデートを無視するのは、最もやってはいけないことの一つです。多くの場合、これらのアップデートには、セキュリティポリシーや脆弱性に対応してハードウェアを最新の状態に保つために必要なセキュリティパッチが含まれています。これらのパッチを適用しないと、様々な攻撃にさらされる可能性があります。アップデートには時間がかかり(サーバーのダウンタイムも発生する可能性があります)、企業のセキュリティを維持するために不可欠なステップと捉えるべきです。
2: 最新情報を把握する
IT部門に所属している方(この記事を読んでいるなら、おそらくそうでしょう)は、最新のセキュリティ脅威や警告を常に把握しておくことが職務の一つです。PCセキュリティの世界で何が起こっているかを常に把握しておけば、最新の脅威だけでなく、それらの脅威を寄せ付けないための最新技術についても知ることができます。導入している製品を製造している企業からのセキュリティ警告や、一般的なセキュリティ問題にも常に目を光らせておきましょう。最新のセキュリティ技術について学び、常に新しい手法を学ぶ姿勢を持ちましょう。講習を受講したり、他のセキュリティ専門家とネットワークを築いたり…積極的に交流しましょう。
3: パスワードポリシーを設定して適用する
パスワードポリシーをまだ導入していないなら、今すぐ導入しましょう。すべてのパスワードが強力なものであり、30日または60日ごとに必ず変更されていることを確認してください。これは、ワイヤレスセキュリティパスワードだけでなく、ワイヤレスネットワークに接続されているBYODデバイスにも適用されます。確かに、ワイヤレスパスワードを定期的に変更するのは面倒です。しかし、あらゆるレベルのセキュリティを真剣に考えているのであれば、これは必須事項と言えるでしょう。
4: オープンワイヤレスを提供しない
絶対にありません。確かに、一般の人々に無線LANを提供する企業の中には、必須の場合もあります。しかし、だからといって公衆Wi-Fiにパスワードをかけなくてもいいというわけではありません。公衆パスワードを設定し、顧客には管理アシスタントからパスワードを取得するよう求めましょう。公衆無線LANのパスワードは毎週変更することをポリシーにしましょう。可能であれば、さらに一歩進んで、公衆無線LANを社内ネットワークに一切接続しないようにしましょう(たとえ2つ目のパイプを購入しなければならないとしても)。
5: 規則違反者には厳しく対処する
ようやく、会社のセキュリティを最大限に高めるためのセキュリティポリシーをすべて設定できました。従業員がこれらのポリシーに違反した場合、会社のデータは安全ではなくなります。セキュリティポリシーは、違反を一切容認しません。違反した者は、必ずその罰を受けなければなりません。これは容易なことではありませんが、ポリシーに対する確固たる姿勢を確立し、従業員が問題の深刻さを理解すれば、セキュリティの実施は容易になります。場合によっては、従業員の解雇が必要になる場合もあることをご理解ください。しかし、データのセキュリティを確保するためにそれが必要なのであれば、そうするべきです。
6: 2段階認証を要求する
二段階認証があらゆる場面でデフォルトになっていないことに、いつも驚かされます。もしあなたの会社でGoogleを利用しているなら、すべてのアカウントで二段階認証を必須にし、Google Authenticatorを利用するべきです。社内サーバーでもこの種のシステムを使うべきです(Linux SSHサーバーでも二段階認証を導入できます)。認証に関わるあらゆる場面で、二段階認証はデフォルトであるべきです。
7: 可能な場合はChromebookを使用する
これらの安価なデバイスは、実はあなたが考えもしなかった方法で企業のセキュリティ向上に役立ちます。まず、もしあなたの会社がGoogleとその2段階認証(上記参照)を使用している場合、既に少しは先進的と言えるでしょう。しかし、Chromebookを導入すれば、ユーザーがネットワークに大混乱をもたらす可能性のあるサードパーティ製ソフトウェアをインストールする心配がなくなります。Chrome OSは、設計上、世界で最も安全なプラットフォームの一つです。確かに、機能制限を感じる人もいるかもしれません。しかし、従業員が現在行っている作業のほとんどがブラウザ内で行われていることを考えると、セキュリティを最優先に考えるなら、Chromebookは理想的なソリューションと言えるでしょう。
8: 新規採用者を適切に審査する
セキュリティ侵害は、ハッカーによるデータの盗聴という形ではなく、悪意のある従業員によるソーシャルエンジニアリングによって発生する場合があります。新入社員の経歴や意図を完全に把握することは不可能かもしれませんが、新入社員について可能な限り多くの情報を把握することはあなたの義務です。
9: 紙の書類をなくす
書類は簡単に悪意のある人物の手に渡りかねません。高性能のシュレッダーを導入し、定期的に使用しない限り、不適切な人物が不適切なタイミングで不適切な書類を拾い上げることで、データ漏洩の危険性があります。社内データはすべてデジタル形式でのみ保管し、社内LAN内の社内ハードウェアに保存するというポリシーを策定しましょう。
10: フルディスク暗号化を採用する
データのセキュリティを本当に重視するなら、サーバー、データドライブ、デスクトップ、モバイルデバイスで暗号化を行うべきです。暗号化を利用することで、ITスタッフはしばらくの間、長時間の作業と悪夢のような日々を強いられることになるかもしれませんが、こうしたダウンタイムは労力に見合うだけの価値があります。最終的には、データのセキュリティが大幅に向上するでしょう。
データセキュリティは常に変化する目標であり、常に注視しておく必要があります。何らかの変更を加え、厳格な方針を貫く意志がなければ、会社のデータは容易に危険にさらされる可能性があります。いくつかの例外を除けば、このリストにあるセキュリティの「アップグレード」は非常に簡単に実行できるはずです。
また読んでください…
- 中小企業向けITセキュリティの3つの基本ヒント
- ディスク消去とデータフォレンジック:神話と科学を区別する
- Google Apps SSO でパスワード管理の煩わしさを解消
- 2段階認証でGoogleアカウントを安全に
その他の手順
情報資産を保護するための、他の手頃なセキュリティ対策は見つかりましたか?TechRepublicの他のメンバーとご提案を共有してください。
