ニューノーマル時代のセキュリティ対策を見直そう!~現在の環境を把握しましょう
セキュリティ対策を見直す第一歩は「現在の環境をきちんと把握しておく」ことです。日々の利用しているハードウェア・ソフトウェアに関する管理をしておくことで、いざという時のリスクに対応できるようにしましょう。
Check!!
□USBメモリなど持ち運び可能なメディアの管理・使用状況を把握する仕組みはありますか?□持ち込みPCなどの未登録機器を社内のネットワークへ自由に接続させないような仕組みはありますか?
□管理台帳を作成しOSやセキュリティソフトのバージョンアップ適用状況を把握できていますか?
当社ではセキュリティ診断も受け付けております。
こちら よりシートをダウンロードし、お申し込みください。
目次
環境を知ることはリスクを知ること
社内のネットワーク、機器、ソフトウェア等、どのように把握されているでしょうか。PC、スマートフォン、USBメモリ、モバイルルーターなどの機器類、Officeソフトや業務ソフト、セキュリティソフト…このように、現在のオフィスでは多様な機器とソフトウェアが使用されています。そのうえ、自宅やカフェ、サテライトオフィスといった、働く場所が多様化したことにより、小型化・軽量化された機器が増えました。盗難や小さいメディアなどの紛失リスクも高まります。これらの使用状況を把握・管理し、適切なセキュリティ対策を行う必要があります。そのために必要なのが「IT資産管理」です。
IT資産管理とは
一般的には企業内のハードウェア・ソフトウェアなどの資産を管理することを指しています。ハードウェアでは主に、サーバーやパソコン機器、USBメモリやハードディスクなどの記録用媒体、プリンタ・複合機といった周辺機器などが対象となります。
ソフトウェアでは、PCにもともとインストールされている物、別途購入されたソフトウェア等も管理に加え、それらのライセンス運用が適切か、有効期限切れになっていないか、といった点も注意が必要です。
IT資産の把握とコスト最適化
基本的な事ですが、IT資産の正確な管理を行うことはコストの最適化につながります。例えば、従業員数に対して機器やライセンスが少なく、足りていない場合は、日常業務に不便をきたす可能性がありますので、急ぎ必要数用意しなければなりません。逆に、異動や退職によって浮いている機器がある場合は、他の従業員へ回したり、予備用として保管しておくことができ、「気づかずに新しいものを購入してしまった」ということも防げます。また、余っているライセンスやサービスは解約・減数ができることもありますので、不要なコスト発生を防ぐことにもつながります。
ライセンスの適切な使用
近年ではライセンス製品が増えているかと思いますが、適切に使用されているか、管理することも重要です。有効期限はもちろんですが、ソフトウェアを規定以上の端末で使用していないか、提供元が定めている方法以外で利用していないか、といった点も注意しなければなりません。
また、端末が1人1台、と限らないケースもあるかと思います。そのライセンスが、”人”(ユーザー)に基づくものなのか、”使用する端末数”に基づくものなのか、サービスによって異なりますので、一元的に管理する必要があります。
セキュリティリスクを回避
資産管理はセキュリティとも密接にかかわっています。パソコンやOfficeソフト、ルーターなどのネットワーク機器などで、メーカーから「サポート終了のお知らせ」を見たり、実際に受け取ったことのある方は多いかと思います。「機器が動いているんだからいいじゃない」と侮ってはいけません。サポートが終了した機器を使い続けたり、アップデートを行わずに使用し続けたりすることはセキュリティ上のリスクにつながるのです。具体的には、既存のOSやソフトウェアなどに脆弱性、つまりシステムの不具合や欠陥が見つかったときにメーカーは対策を行った更新プログラムを作成し、提供します。それを適用せずに放っておくと、そうした不具合を狙って攻撃を仕掛けられる可能性があるのです。
実際にルーターのファームウェアをバージョンアップせず使い続けていたことが原因で、攻撃を受け、悪意のあるサイトへ誘導される、という事例がありました。
資産管理では使用しているOSやソフトウェアのバージョンを含めて把握、管理することで、更新状況の確認や、更新を行っていないユーザーへの注意喚起を行うため、セキュリティリスクの回避につながります。
資産管理の方法
管理表・シートを作る
各端末とそれに紐づく情報を管理する必要がありますので、規模によってはエクセルのテンプレートを活用することで作成できます。使い慣れている方も多いでしょうし、期限が近付いたタイミングで色が付けられて…なんて運用もできますね。専用システムの導入コストも発生しませんので、(Officeのライセンスは必要ですが…)始めるハードルは低いといえるのではないでしょうか。
一方で、担当者の負担や管理漏れのリスクが発生します。表の管理では1台1台担当者がチェックして回る必要があります。規模が大きいほど担当者への負荷も、人件コストも大きくなってしまいますよね。また、管理対象は多岐にわたりますので、管理漏れを防ぐ必要があります。複数担当者での二重チェック等も重要になります。規模、人員の余裕、使用している機器等様々な条件から検討しましょう。
システム導入
上記のように、人の目では管理しきれない!!となってしまった場合は、システム化やアウトソーシングを検討しましょう。システムでは端末の台帳管理やインベントリ情報(パソコンなどのメモリ、IPアドレス等の情報)の自動収集などを行ってくれるため、端末数が多い場合は担当者の負担をぐっと減らすことができます。また、セキュリティの観点からログ監視を行う、といったケースでも役立ちます。ただし、普段ネットワークにあえて接続していない機器がある場合は、システムを導入しても自動で情報収集してくれるわけではありません。担当者による地道なチェックと併せて実施する必要があります。
まとめ
ご覧いただきありがとうございました。今回は現状把握をテーマに、ご紹介しています。機器の台数や種類を把握するイメージが強かったのですが、ソフトウェアのバージョン管理、ライセンス管理等、見た目でわかりづらいところも把握しなければいけないんです。従業員個人任せではない仕組みづくりが必要ですね。
ご質問・ご相談に関しては
こちらからお問い合わせください。