古い考え方
- 使えてるんだからいいじゃん
- うちみたいな小さな会社の情報なんて狙わないよ
- セキュリティインシデントの発生確率は低いんだから大丈夫でしょ
- ウィルス対策ソフトあるから大丈夫
去る2020年1月14日に、Windows7のサポートが終了しました。
Windows7をご利用のみなさん、もちろん何かしら対処しましたよね? (私の会社は、まだ一部Windows7が残っています)
先に買いた4つは、私が今の会社に入社(2019年10月)して最初のミッションとなったPC買い替えにおいて、実際に言われた意見です。
Windows7 PCの買い替えミッションに関しては、以下にまとめる予定です。
------------
ここにリンク配置予定
------------
今回は、セキュリティに対する考え方を共有させて頂ければと思います。
(専門家ではないので、誤りがあればご指摘頂けますと幸いです)
日本のセキュリティレベル
日本はIT後進国である
日本がIT後進国であるのは世界の共通認識である
というのがどうやら事実である。
情報通信研究機構が公開しているツールなど、様々なセキュリティ脅威情報を確認出来ますので、ご興味があれば。こちら
私は前職はゲーム業界でしたが、DDos攻撃なんて当たり前、不正アクセス元は各国様々なところからありました。
一般の人が知らないだけで、ごくごく普通にインターネット上には脅威があると知って下さい。
ハッカーの狙い
日本は世界のハッカーからターゲットにされ易いです。
ただし、価値の高い多くの情報を持っているような大企業となれば、専門家を雇っていたりセキュリティ対策を施しているものです。
そうなるとハッカーはそういう企業は直接は狙わず、セキュリティが弱い企業を狙います、そうです中小企業です。
2019年に Emotet が流行したのは、決してたまたまではないと言われています。
横繋がりで感染を広げることで、中小企業を踏み台にして取引先である大企業を狙います。
ハッキングはお金になる
この手の行為は裏社会ではビジネスとして成り立っていると言われており、投資利益率(ROI)はなんと1425%にもなるそうです。
足がつきにくくお金はガッポリ、ローリスク/ハイリターンのビジネスなんですね。
中には月額制で不正ソフトを提供しているサービスもあるらしいです...
不正ソフトやウィルスとは別件ですが、私が参加したセミナーで一番驚愕したのは、大阪のとある企業の社内WEBカメラの様子がハッキングされ、ロシアのサイトに晒されているというものでした。
そこで働く人の顔も識別出来るしPCモニターに何が映っているかも識別できるくらいクリアな状態で、まさにリアルタイムで晒されている様は非常に恐怖でした。
うちはWEBカメラなんて設置していないから・・・ということではなく、知らないうちに被害者になっているかもしれない危機感と、被害者のはずが踏み台にされて加害者になるかもしれない危機感を強く持った方が良いと思います。
情報セキュリティ対策に求められること
入り口で防ぐこと
LAN内での被害拡大を防ぐこと
社内から社外への被害拡大を防ぐこと
私が受講したセミナーで共通して講師の方が仰るのが、これです。
「何をやったとしても100%にならない」からこそ「100%に近い状態にもっていく」ことこそ重要であると強く思います。
「ボヤで住むか全焼するか」最悪のケースを想定して如何に事前に準備が出来るかに掛かっているということです。
以上をふまえて
使えてるんだからいいじゃん、じゃない
私はIPAの更新情報を受け取ってチェックするようにしていますが、知らないものから日頃扱っているものまで、多種多様の脆弱性の対応が行われています。
表面的には問題なく使えていても実際には、ソフトウェアアップデートを行っていない → ソフトウェアを最新にしようと思ったらすでにサポート切れていた、なんてケースが弊社では多発しました。
私は、Windows7に限らずサポート切れのPCを使うこと自体は反対はしません。
その環境でしか出来ないこともあるかもしれないので。(仕事ではほぼないだろうけど)
ただしリスクを把握した上で、適切な環境下で利用するというモラルがあってこそかなと思います。
会社の規模によって狙われない、はもはや過去の話
むしろ近年の狙いは中小規模の企業です。
2020年東京オリンピックは延期となりましたが、翌年以降で開催時期が決まれば、よりハッカーの脅威に晒されてることでしょう。
被害者になる危険性と同時に、踏み台にされることで加害者になる危険性があります。
インシデント発生確率は重要じゃない、インシデント発生時の被害を考える
「何をやったとしても100%にならない」からこそ「100%に近い状態にもっていく」に尽きます。
対策をしても翌日に被害にあうかもしれないし、対策をしなくても何も起きないかもしれない、ということです。
被害にあった時の被害の大きさや範囲を考えた場合に、何もしないという選択はあり得ないのでしょうか。
ウィルスソフト入れときゃ大丈夫、じゃない
結構勘違いしている、というか知らない人が多いです。
ウィルス対策ソフトをインストールしていれば、確かにダウンロードする対象やメールの添付物など一定の効果があるでしょう。
しかし定期チェックしてないとほぼ意味がない(活かせてない)し、攻撃する意図を持った侵入に対して防御してくれるものではないです。
そのことを理解していない人が弊社は多かったです。
インストールしているだけで効果があると思ってしまっている方も一定数いるようです。
※うちの場合そもそもウィルスパターン定義が2012年で切れて・・・
まとめ
セキュリティに対する投資は、BCPにおける安否確認サービスと同様に不確定要素に対する備えの投資です。
ここを決済者に理解して頂くことが重要ポイントかなと思います。
BCPに関しては以下
-
なぜ、安否確認のための専用システムが必要なの?
導入編は以下です。 有事の際の安否確認手段として、一般的なSNSツールではなく、なぜ専用システムが必要なのかをご説明いたします。 目次 なぜ電話じゃだめなの? 通常のメール ...
続きを見る
おまけ
とあるセミナーで共有を頂いた情報なので、全てを具体的に申し上げることはできないので恐縮なのですが、概要だけでも少しお裾分けを。。
数百社を対象にしたアンケートなのですが、業績好調な企業とそうでない企業に対し、会社支給のPCの大事さをアンケートしたところ、大事だと答えたのは業績好調な企業では41%、そうでない企業では17%という結果が出たそうです。
お金に余裕がないと「IT資産に予算を割く余裕はない」というのが理由としては多いと推測されます。
また驚くべきは、なんとIT企業でも”PCが大事”と考えていない会社が存在するという事実です。
日本における中小企業~大企業の数が300万社(くらいかな?)のうち、ごく一部の企業アンケートではありますが、それでも結構多くの会社が同じような考えを持っているのでは?と個人的に思っています。
私も今の会社に入った当初は、まずそこでカルチャーショックを受けた一人です。
セキュリティ対策またIT資産管理など、まだまだ現在進行形で対応しているため、対応完了後には情報開示していこうと思います。