なぜ、中小企業のパソコンはセキュリティが弱いのか? その３

外部からの情報漏洩対策

ここからは、外部からの情報漏洩対策です。業務用パソコンの多くは社内ネットワークはもちろんインターネットにも繋がっておりますので、常に悪意のある外部のネット犯罪者からの脅威にもさらされています。多くの場合、オペレーションシステムやインターネットサービスプロバイダー、企業のIT部門などで提供している情報セキュリティを保つ仕組みにより守られているのですが、その隙を突いて、ネット犯罪者はパソコン内の情報を抜き取る方法を仕掛けてきます。この対策としては、コンピューターウイルス対策などのセキュティリソフトウェアをパソコンにインストールすることです。ここまでであれば、多くの方々は、既に対策を行っているかと思いますが、重要なことは、このセキュリティソフトを最新に保つことなのです。日々、様々なセキュリティソフトの隙を突く方法が見つかり、その為の対策の為にセキュリティソフト会社は、その機能を強化しています。その恩恵を受ける為には、インターネットを介してその機能をセキュリティソフトに追加するオンラインアップデートという作業が必要なのです。通常、その作業は自動的に行われる様になっているのですが、セキュリティソフトの更新費用を支払っていない場合や、設定が誤っている為にオンラインアップデートが出来ずに、そこから思わぬウイルスに感染して、情報漏洩が起こることもあります。また、セキュリティソフトだけでなく、Windowsなどのオペレーションシステムや各ソフトウェアなども、ネットワークを介して通信をしていますので、同じ様に重要なセキュリティ関連のアップデートがある場合は、早急に行わなくてはなりません。
　毎日の様に業務でパソコンを利用している従業員は、比較的、オンラインアップデートを行っている方が多いのですが、あまり頻度が高くない従業員の場合、パソコンの起動時間中に、オンラインアップデートが完了出来ないということが多く発生しますので、注意が必要です。

3つ目は「なりすまし対策」です。最近も、ある人のパソコンに知らぬ間に「遠隔操作不正プログラム」がインストールされて、悪意のある者がその人のパソコンを遠隔操作を行って犯罪予告を行う事件が発生しました。これは企業で使われているパソコンでも起こりうることで、特に企業では、就業時間中はパソコンを使っていない時間でも電源は入ったままですし、退社時もパソコンの電源を入れっぱなしということも見受けられます。その間に遠隔操作をされてしまったり、あるいは、遠隔操作プログラムをインストールされてしまうこともあるのです。この対策については多岐にわたる為、ここでは詳細には触れませんが、業務に関係のないようなWebサイトを閲覧したり、ソフトウェアをインストールしない、離席時は必ずパソコンをログオフして、再度、利用する場合はパスワードの入力が必要なように徹底するなどして、自分がパソコンを使っていない時は、他人に物理的にもネットワークを介してでも、操作を出来ないようにしてしまうということに尽きます。

また、「ソーシャルエンジニアリング」という新しい手法でアナログ的に情報漏洩を促す手口も見受けられます。これは、関係者になりすまして企業に電子メールなどで連絡をして、企業内の機密情報を入手するという方法です。例えば、電子メールで、突然、自分の会社の社長の親族を名乗る人からメールで連絡があり、社員全員の携帯電話番号のリストを送って欲しいとか、既存の顧客を名乗る人から、この顧客へ出した請求書を全て送って欲しいなどの依頼があったりします。こういった関係者になりすまし、内部から情報を漏洩させるソーシャルエンジニアリングの手法に対応するには、面識のない相手からの突然の電子メールでの依頼の場合は、電話などで本人であることを確認するなどの対応が必要となります。