【超大全】企業ができるネットワークのセキュリティ対策11選|Q&A付き
- 先日、社長から社内のネットワーク管理者をやるよう言われました。全く知識がない中で色々調べましたが、専門用語が難しくてさっぱりわかりません。結局、ネットワークセキュリティ対策は何から始めたらいいのでしょうか?
- ネットワークには「社外ネットワーク」と「社内ネットワーク」があります。それぞれで備えるべきリスクや必要な対策が異なるので、企業のセキュリティを強化するには正しく把握することが大切ですよ。
本記事では、ネットワークセキュリティに不慣れな管理者や、もう一度基礎から知りたい担当者の方に「ネットワークセキュリティ」の概要や事故事例を分かりやすくご紹介。
さらに、企業のネットワーク管理者向けに具体的なセキュリティ対策を11個、徹底解説します。
ネットワークセキュリティとは?基本と概念について
- まずネットワークとは、複数間のPCや機器を繋ぐ手法です。そして企業のネットワークには、大きく分けて「社外ネットワーク」と「社内ネットワーク」があります。
「社外ネットワーク」は、外部のインターネットに接続されている側(Wide Area Network、通称WAN)。
一方「社内ネットワーク」は、社内のみで接続されている側(Local Area Network、通称LAN)を指します。
LANはよく使われるワードですので一度は耳にしたことはあるのではないでしょうか。
では次に、以下の企業のネットワークの概略図をご覧ください。
インターネットから、それぞれ個々のPC・複合機等までのネットワーク構成を示しています。
図の真ん中のモデムとルータの間に、境界線がありますね。
この境界線の上側が社外ネットワーク(WAN)、下側が社内ネットワーク(LAN)とイメージするとわかりやすいでしょう。
そして、社外ネットワークと社内ネットワークでは懸念すべきリスクが異なります。
①社外ネットワークで懸念すべきセキュリティリスク
社外ネットワークにおけるセキュリティリスクには、以下のようなサイバー攻撃や標的型メールなどが挙げられます。
②社内ネットワーク(LAN)におけるセキュリティリスク
社内ネットワークでのセキュリティリスクは、主に従業員や関係者を介したリスクに注意が必要です。
- 悪質サイトの閲覧によるウイルス感染
- 従業員によるデータ盗難(内部不正)
- USBなど外部媒体の利用を介したサイバーウイルスの持ち込み など
- ネットワークセキュリティを強化するためには、まずは自社内のネットワーク構成を理解し、これらがリスクにさらされても対処できるよう然るべきセキュリティ対策を行う必要があります。
セキュリティ対策をしないと危険?サイバー攻撃と脅威について
- セキュリティ対策の必要性は分かるのですが、サイバー攻撃や事故って本当に起こるものなのでしょうか?大企業なら狙われそうですが、うちみたいな中小企業を攻撃するメリットなんてないと思いますが・・・
- 実は中小企業こそが、大企業を攻撃するための「踏み台」として狙われる被害が年々増加しています。また、万一サイバー攻撃を受けた場合、想定以上の被害が発生しますのでその具体的イメージについて解説しますね!
そもそも中小企業でも事故は起きるのか?
多くの中小企業の経営者が、サイバー攻撃について「うちなんて狙われるわけがない」「狙われて困る情報なんてない」と感じているようです。
しかしながら、サイバー攻撃などによる被害報告は毎日後を絶ちません。
特に気を付けるべきリスクに「サプライチェーン攻撃」があります。
これは、自社がサイバーウイルスに感染し、知らぬ間に加害者となって取引先等に標的型メールなどでサイバー攻撃を仕掛ける、といった攻撃です。
このように、セキュリティ対策が甘い中小零細企業を踏み台にして、大手企業や取引先を狙う事例が増えています。
たとえ自社が預かり知らぬ状態でも、最終的には取引先等に対して多額の賠償金を払わねばなりません。
また、情報セキュリティの最新ニュースをまとめた「Security NEXT」をご覧ください。
このサイトには、日々国内で起きたセキュリティ事故の情報がアップされています。
事故報告があった企業は大企業だけに限らず、中小企業や自治体など様々な組織がサイバー攻撃で被害にあっている様子がみてとれます。
- このように企業規模に関係なく、世の中では日々サイバー攻撃事故被害が報告されており、「知らなかった」じゃすまされない状況となっているのです。
サイバー攻撃を受けた場合の被害額イメージ
では、万一サイバー攻撃等で被害を受けた場合、実際どのような被害を受けるのでしょうか?
ここでは、具体的な金銭的被害について解説します。
まずは事実を正しく把握し、ネットワークセキュリティ対策の重要性を改めてご認識ください。
①賠償金
サイバー攻撃を受けて万が一取引先等に被害を与えた場合、賠償リスクが発生します。
賠償金は、被害を与えた取引先規模や影響度、自社の責任比率によって変わりますが、総じて高額になります。
例えば、年間売上数百億円規模の取引先をサイバー攻撃で1ヶ月業務停止させてしまった場合、数億円の営業利益や粗利に失わせたことになりますよね。
結果、請求される賠償金もそれ相応の規模に及ぶことは容易に想定されると思います。
一般的に、数千万~数億円の賠償金請求を受ける可能性も十分あり得ます。
②対応費用
自社がサイバー攻撃を受けたときの対応費用は以下のものが挙げられます。
- フォレンジック調査
サイバー攻撃により被害を受けた場合、対外説明責任のためにもネットワークやPCがどのようなサイバーウイルスに感染していたのか、どこまで影響を与えてしまった等を調査する必要があります。
これを「フォレンジック調査」といいます。
このフォレンジック調査費用は、専門的な知識が必要でありことや対応できる業者が少ないことから、PC1台調査するのに100万円以上かかるのが一般的です。
仮にPCが50台あったら、フォレンジック調査費用だけで5,000万円以上かかってしまう計算となります。
- 見舞費用
個人情報漏えいを発生させてしまった場合、被害者に対して「被害報告」や「見舞費用」を支払うことが通例です。
特に見舞費用は被害者一名あたり500円~1,000円が通例であり、被害者が多ければ多いほどその額は膨らみます。中小企業であっても個人情報を数万件規模で保有している企業は多いでしょう。
万一、その情報を漏出した場合は多額の見舞い費用がかかることになります。
- その他
お客様対応のための緊急コールセンター費用や、再発防止対応費用がかかります。
③営業停止による喪失利益
サイバー攻撃を受けたことにより、自社の売上や利益が大きく損なう恐れがあります。
被害の影響の度合いによっては、数カ月営業をストップせざるを得ないケースも。
通常業務を行っていれば得られたであろう利益が、サイバー攻撃によって失われてしまいます。
会社で被害を受ける前にセキュリティ対策をしておきましょう。なにからすればわからない方は下記のセキュリティ無料診断で自社の状況を知り、正しいセキュリティ対策を↓
ネットワーク管理者が行うべき具体的なセキュリティ対策11選
- サイバー攻撃などによる被害は理解できました。ネットワークのセキュリティ対策を具体的に検討したいのですが、何から始めたらよいのでしょうか?
- では、ネットワーク管理者がいますぐできるネットワークセキュリティの具体的対策を11個ご紹介します!「従業員に指示すべきこと」と「ネットワーク管理者が対応すべきこと」に分けて解説しますので、着手できるところから対策してみてください。
対策①OSの最新アップデート
利用するPCのOSの最新アップデートは、セキュリティ対策の基本中の基本です。
ネットワーク管理者は必ず、従業員にOSの最新アップデート実施を促すよう声掛けしてください。
Windows10の場合の具体的な確認方法ですが、【スタートメニュー】⇒【設定】⇒【更新とセキュリティ】⇒Windows Updateを確認し、最新の状態になっているかを確認すればOKです。
また、OSをアップロードするにはPCをシャットダウンしなければなりません。
普段シャットダウンしない従業員も多いでしょうから、そういう観点からもしっかり社内アナウンスを行い、全従業員が対応しているか確認するのもセキュリティ担当者の重要な仕事です。
対策②安全性高いブラウザの最新アップデート
検索エンジンとなるブラウザにも、安全性の高低があるので注意が必要です。
特に安全性が高いブラウザは、「Google Chrome」と「Edge」。
従業員はそれぞれの好みでブラウザを使うので、このあたりの社内ルールの設定をおすすめします。
例えばGoogle Chromeの最新状態の確認方法は、Ghromeブラウザの右上のボタン(下図参照)⇒「設定」⇒左のメニューバーの「Chromeについて」、より最新バージョンかどうかを調べることができます。
対策③OSやアプリケーション&ウイルス対策ソフトの一元管理
前段では、従業員のPCのOSやアプリケーションを最新化する方法を伝えました。
しかし、こういった細かな設定を従業員任せにするのは危険ですし、ネットワーク管理者の負担も相当大きいものです。
そこでこういった負担を軽減するためには「一元管理」をおすすめします。
社内のOSやアプリケーションの一元管理できるサービスとして、WSUS(Windows Server Update Service)やクラウド型サービスのWindows Intuneなどがあります。
またOS同様、ウイルス対策ソフトもネットワーク管理者が一元管理できるサービスが主流となっています。
コストはかかりますが、万一のセキュリティを考えると重要な対策になります。
社内で管理するPCやサーバー台数などを念頭に、一元化をぜひ検討してみてください。
対策④UTM(統合型脅威管理)の導入
UTMとは「統合型脅威管理」の略で、本記事の冒頭で説明した社外ネットワーク(WAN)と社内ネットワーク(LAN)の間に設置する統合型セキュリティ機器です。
この機器を一つ設置することで、以下のセキュリティ対策を講じることができる優れものです。
- 迷惑メールやフィッシング詐欺メールの拡散を未然に防ぐ
- ウイルスが付着している添付メール等を未然に防ぐ
- 知らずにウイルス感染サイトに立ち寄ろうとした場合でも入口でブロックする
- 業務に不要なサイト情報を集めて未然にブロックする
- ファイヤーウォール機能を保有している
【UTMの機能】
当社「OFFICE110」でも、上記機能を備え、低コストで簡単に導入できる業界最高ハイスペックのUTM「NISG6000std」を取り扱っています。
ネットワーク管理者が手始めとして、網羅的に対策がとれるOFFICE110のUTMをおすすめします。
対策⑤定期的なデータのバックアップ
データのバックアップは、定期的にとるようにしてください。
なぜなら、データさえしっかり残っていれば万が一の際に業務をすぐ復旧させることができるからです。
最悪なのは、“何もできない”という状態に陥ることです。
バックアップ方法については、自社のデータ保存仕様によって手法が異なりますのでそれぞれ確認してください。
参考として現在主流のバックアップ方法を以下に示します。
- ローカルバックアップ
データが従業員それぞれのPCやハードディスクに保存されている場合の方法 - ネットワークバックアップ
ネットワーク上で接続されているNAS等にデータをバックアップする方法 - クラウドバックアップ
インターネット上のクラウドサービス内にデータのバックアップをする方法
対策⑥NAS(ナス)の導入・設定・管理
NAS(ナス)とは「Network Attached Storage」の略で、従業員個々のPCでデータを管理・保存するのではなく、従業員が一括共有して保存・管理できるネットワーク上で繋がれたストレージです。
NASについての詳細はこちらの記事をご覧ください。
NASでは、従業員の属性によってアクセス権限を付与することができるため、適切なデータを適切な従業員で管理できます。
そうすることで、社内の重要データや機密データを関係者外秘にでき、情報漏えいの防止に効果的です。
また、NASはバックアップ機能にも優れており、RAIDという手法を用いて同時に複数のストレージに自動バックアップすることが可能となります。
「OFFICE110」では、中小企業に必要なセキュリティ機能をパッケージ化し、低コストに抑えたNAS「CYBER BOX PRO」を提供しているので、ぜひお問合せください。
対策⑦USBやSDカード等の利用を制限する
USBやSDカードは便利ですが、セキュリティの観点から述べると非常に危険です。
なぜなら、外部からLAN内にウイルスデータを持ち込む要因となったり、従業員が社内から個人情報を持ち出したり、紛失リスクがあったりとセキュリティリスクの温床となるからです。
よって、社内ではUSBやSDカードなど外部記憶媒体の利用は極力禁止にすべきです。
ちなみにUSBの利用を禁止するには、「USBポートロック?USBポートを塞ぎ、USBメモリ等の外部記録装置の使用を禁止できるツール。×」が有効です。
このように、社内の安全性向上のための決断もネットワーク管理者として大きな役割ですので、ぜひ検討してください。
対策⑧標的型訓練メールを実施する
標的型攻撃メール?メールを用いて、ターゲットの組織や人の情報を不正に搾取する攻撃。×など、なりすましメールによるサイバーウイルス感染は、後を絶ちません。
そこで、従業員に対して不要なメールを開かないよう定期的に訓練することが重要です。
例えば最近では、「標的型訓練メール」というサービスを各社提供しています。
「標的型訓練メール」はファイルを開いた従業員をネームドで把握できるなど、細やかな設定が可能です。
対策⑨古いOSのPCはネットワークに繋がない
すでにメンテナンス期間が終了しているOSなどを使用するPCは、ネットワークに繋がないようにしてください。
古いOSはセキュリティ上欠陥だらけですので危険です。
ネットワーク管理者としては、社内PCやOS状態をしっかり管理しておきましょう。
また中には、古いOSでしか作動しないアプリケーションを利用している企業もあると思います。
その場合は、古いOSのPCはアプリケーションを利用するためだけの専用PCとして使い分けし、それ以外の業務(メール送信やネットサーフィン等)はしないよう管理を徹底してください。
対策⑩長期休みの場合はコンセントからPCの電源を抜く
年末年始やお盆休み、GWなど会社が長期間休みをとるときは、社内のPC電源をコンセントから抜くように徹底しましょう。
なぜなら、長期休みにネットワークががら空きになると、ハッカーたちの格好の荒らし場になってしまうからです。
電源やネットワークが抜かれていれば、ハッカーやウイルスも侵入することができません。
アナログなやり方ですがネットワークセキュリティを守る上で有効ですので、長期休み前には社内通達を行い、コンセントからPC電源を抜くよう社内に指示してください。
対策⑪サイバー保険の加入
現在、各損害保険会社では「サイバー保険」を販売しています。
サイバー保険では、サイバー攻撃によって被った賠償金や自社の対応費用、自社の喪失利益等の一部を金銭的補償してくれます。
セキュリティには絶対の対策は存在しないため、最悪の想定を踏まえて、サイバー保険の加入も検討してみてください。
中小企業のネットワーク管理者のよくある悩みQ&A
最後に、ネットワーク管理者やセキュリティ担当者のよくある悩みをQ&Aで回答します。
ご自身の状況に照らし合わせてご利用ください。
Q&A①現在のセキュリティのままで良いかどうかわかりません
まずは、現状の自社システムの「セキュリティ診断」を強くおすすめします。
セキュリティ診断を行うことで、自社システムの欠陥部分や対策が必要な箇所の優先度を知ることができるからです。
ひどいケースだと、何年も前から自社システムがウイルス感染していながら気づかず、社外との取引をし続けていたというケースも散見されています。
「OFFICE110」では、現在、期間限定・無料でセキュリティ診断サービスを行っております。
通常10万円以上かかる現地調査が0円で診断できますし、貴社セキュリティの脆弱性の検証、総合的分析、具体的な対策方法までご案内します。
この機会にご検討してみてください。
Q&A②ネットワークセキュリティに何か発生したらベンダーに相談すればいいんでしょ?
システムベンダーはシステム設計の専門家ですが、セキュリティの専門家ではありません。
よって、ネットワークセキュリティに発生した問題もすべてベンダーに相談すれば解決するという保証はないのです。
実際の事故ですが、ある企業がセキュリティに問題が発生し、あわてて馴染みの大手ベンダーに解決を依頼したところ、そのベンダーは対処方法が分からず誤ってサーバ内データをすべて消去してしまった、という事象も起きています。
ネットワーク管理者は平時よりセキュリティ専門家を選定し、万が一の際の対策を事前に協議しておくべきでしょう。
Q&A③いますぐできる従業員教育で効果的なものは何ですか?
効果的なのは、「標的型訓練メール」の実施です。
社内で定期的に標的型訓練メールを実施し、従業員の意識向上を続けることが肝要です。
標的型訓練メールは多くの企業でサービス展開していますので、この機会にご確認ください。
また、「Security NEXT」は頻繁に確認し、自社の同業界で起きた事故や自社でも起きそうな事故があれば、すぐに社内で共有し従業員の意識醸成に役立てましょう。
Q&A④セキュリティ対策について経営者が理解してくれない、予算を通してくれない
まずは、前段で説明した標的型訓練メールを実践してみましょう。
標的型訓練メールは、従業員の誰が開いたのか特定できるので、経営者に当事者感覚をもたせることが可能です。
そして標的型訓練メールは、必ず経営者も含めて実践してみてください。
デジタルに弱い経営者ほど、標的型訓練メールなどうっかり開いてしまうケースが多いものです。
こういった客観的な事実をもとに、セキュリティ対策の必要性を訴え、経営者にはご理解いただきましょう。
まとめ:ネットワーク管理者の責任は重い
セキュリティ対策は、決して経営者の興味の向く話題ではありません。
なぜなら、セキュリティ対策にいくら予算をかけても会社の売上に直接貢献するものではないからです。
一方、万一事故が発生した場合、真っ先に責任を追及されるのはネットワークの管理者です。
「セキュリティ事故は無くて当たり前」「事故があったら管理者の責任」となるのが一般的なのです。
こういう状況である以上、ネットワーク管理者は「自分が会社を守る!」という気概で専門性を身につける必要があるでしょう。
ぜひこの機会に社内の状況を改めて確認し、一つでもいいので出来ることから対策を始めてみてください。
- 最後に、セキュリティ対策で何かお困りごとがございましたら、お気軽にOFFICE110へご相談を。セキュリティ診断も無料で承りますので、不安をお持ちの担当者様はぜひこの機会にお問合せください。
