日本年金機構が125万件の情報流出という非常にショックなニュースが出ました。

発表から数日経って、どんな攻撃手法だったのか、どういう管理状況だったのかが明らかになっていく中、多くの識者の方がこのサイバー攻撃についての対応について書かれています。

 

いや～～、コトバが難しくて読むの大変大変。

 

大企業や官公庁はセキュリティに対して専門の人を入れたり、こういう場合のために対応するCSIRT(シーサート）という組織を社内で構築・外注したりと、いろいろと手を打っているわけですが、コレかなりコストが掛かります。

それでも100点満点のセキュリティは困難（不可能？）なわけです。

 

ウチみたいな小さい会社なんか、狙われるモンがないわ～！ウハハハ！

という人も最近は大分減った気がしますが、

う～む、小さな会社の場合、どうすればいいでしょうね。

 

小さな会社は、パソコンやインターネット、スマートフォンなど、それほど複雑な環境下ではない場合が多いので、とりあえず以下の５つのポイントは見直したいものです。

 

１）ネットワーク環境 (ルータ、ハブ、LAN、WiFi,ファイルサーバー）などで、セキュリティリスクがないか。

２）お使いのOSやソフトでセキュリティリスクがないか。

３）運用しているホームページにセキュリティリスクは潜んでいないか。

４）スタッフ一人ひとりがある程度のセキュリティの知識を持っているか

５）なんらかのトラブルがあった場合に、誰が音頭をとって対応するか、またどこに連絡するかが決められているか。

 

とは言っても、それなりの知識が必要ですね。

 

一般の方（少々パソコンに詳しい人）でできる範疇として、ざっと思いついたところで書くと、

 

■１）の場合

・ルータや複合機などネットにつながる機器の「初期パスワード」をちゃんと変更する。

・WiFi（無線LAN）のWEPキー設定などで、暗号化通信を行う。または、登録したハードしか接続できなくする。

・ルーターのセキュリティ(パケットフィルタ等)を設定する

 

■２）の場合

・WindowsXPは論外、7以降に

・インターネットエクスプローラが古いバージョンじゃないか（今日の時点ではIEのバージョンは11）など、ソフトが最新かをチェック

・フラッシュプレイヤー、アクロバットリーダーなどしょっちゅうセキュリティホールが出るので、常に最新に。

・フリーソフトは結構怪しいのが多いので、インストールされているソフトをグーグルで検索してより多くの情報を調べる。

・Glary Utilities等でどんなソフトやサービスが動いているかを把握しておくのもいいですね。

 

■３）の場合

・WordPressなどのCMSを使っているのであれば、そのバージョンはマメにチェック

・ウェブマスターツールを設定しておくと、ハッキングでマルウエアを仕込まれた場合などに通知してくれるそうです（実際、仕込まれたことがないので、精度はなんとも）

・会員登録など顧客情報を保持するサイトの場合は、制作会社にどういう対策がとられているか、聞いておくと良いと思います。

・できるだけSSLを導入したほうがよいです。

 

■４）の場合

・ウィルス対策ソフトなんざ気休め程度という意識を持っていただきたい

・間違った知識の人も多いので、勉強会等を開いてみんなで覚えることが大切

・メール、インターネット閲覧など、怪しいポイントを覚える

・HTMLメールはなるべく使わない

・インターネットを見るときはサイトのアドレスをチェックする癖をつける

・知らない無線LANには繋がない

・自分のUSBメモリ等を会社のPCに勝手に繋がない

・オレは（ワタシは）よくわからんから、任せるわ！と言わせない

（これが一番大切で難しい・・・）

 

■５）の場合

・パスワードの管理方法など、現実的に継続できそうな取り決めを作る

・トラブル発生時はすぐにネットから切り離すといった初動を決める

・ネットの利用のルールを作る（ブラウザはGoogleChromeにするとか、JavaScriptをオフにしてネット検索するとか・・）

・トラブル発生時の責任者を定期的に代えて、みんなで取り組む

・システム屋さんやWEB屋さん、パソコン教室の先生など、最初に頼れる人の連絡先を共有しておく。

（大掛かりなトラブルはおそらく専門会社になりますが、最初の掛かりつけ医的なカンジ）

 

ってトコでしょうか。

 

考えればもっともっと出そうですが、これでも相当長いエントリーになってしまったので、とりあえず、今日はこのへんでおわり。