フィルタ

クラウドセキュリティー対策

January 3, 2024

もしTeamsで障害が発生したらどうすればいい?
もしTeamsで障害が発生したらどうすればいい? Microsoft Teams の過去の障害事例とは? 実際にどのような障害が発生したのか、具体的な事例を紹介します。今後も同じような障害が発生しないとは限らないので、Microsoft Teamsを利用する場合、ここで紹介した事例は参考になるでしょう。 ◆アクセスできない Microsoft365 で大規模な障害が発生し、数時間にわたりMicrosoft Teamsにアクセスできなかった事例が あります。日本以外にもアメリカ・ヨーロッパ・アジア・中東・アフリカで同様の状況が見られ世界規模 の障害であったといえます。本障害の原因は Microsoft365 が行った設定変更にあり、変更前に戻すなどして 障害の解消を図りました。また、別の障害ではSSLサーバ証明書の期限が切れていたことが原因でした。 この証明書はSSLによる暗号化通信を行う際に必要となりますが、同証明書を更新することで復旧しました。 ◆アプリが起動できない Webブラウザ版のTeamsにはログインできてもアプリは起動できないケースや、パスワード変更後にアプリのTeamsが起動できないなど、この事象は発生割合が多いようです。 ブラウザやアプリが一時的にバグを起こしている、またはアプリが保持しているキャッシュ情報に一部不整合が発生しているなどが原因として考えられます。 ◆メッセージの送受信ができない メッセージを送信すると「送信中」がしばらく表示され、結果「送信できませんでした」と表示され、突然メッセージが送信できなくなってしまうことがあります。その場合は、ネットワークに問題がある可能性があります。ネットワークが問題なくても送受信できない場合は、Teams側の不具合の可能性も考えられます。 ◆会議に参加できない Teams会議に参加しようとする際に、「問題が発生しました。数分後にもう一度お試しください。」と表示されることがあります。また、そもそも会議中の会議が表示されない、参加ボタンが表示されない/押せない、参加ボタンを押しても会議に参加できない、ということも、障害として多々報告されているようです。 ◆内部ストレージサービスへの接続不良 内部ストレージサービスへの接続不良を原因とする障害が発生しました。この障害により数時間にわたってMicrosoft Teams をはじめとするMicrosoft 365 が提供するさまざまなサービスへのアクセスやバッチ処理、プロセス処理に不具合が生じました。合計で13のサービスに障害が発生し、世界の各地域でこの障害の影響を受けました。 Microsoft Teams の障害発生時にすぐに実践できる確認方法とは? Microsoft Teams に障害が発生し使えなくなった場合、利用企業の業務に対する影響はかなり大きく、コミュニケーションが取れなくなることで業務が完全にストップしてしまう可能性もあります。 ここでは、Microsoft Teams の障害発生時に、一刻も早く確認する方法についてご紹介します。 ■公式ツイッターで確認する Microsoft社の公式Twitterアカウント「@MSFT365Status」では、Microsoft Teams を含む Microsoft365に関する障害情報や障害の終息情報がいち早く公開されます。そのためMicrosoft Teamsの障害情報について少しでも早く知りたい場合は、Twitterでこのアカウントをフォローしておくことをお勧めいたします。 ■Microsoft社の公式情報サイト(Microsoft365 service health status) で確認する Microsoft Teams が使えなくなった場合、Microsoft社の以下の公式情報サイトをチェックします。 Microsoft 365 Service […]
クラウドセキュリティー対策

January 3, 2024

長期休暇に向けた情報セキュリティ対策とは?
長期休暇に向けた情報セキュリティ対策とは? 長期休暇における情報セキュリティ対策とは? 長期休暇の時期は「システム管理者が長期間不在になる」「友人や家族と旅行に出かける」等、いつもとは違う状況になりやすく、ウイルス感染や不正アクセス等の被害が発生した場合に対処が遅れてしまったり、SNSへの書き込み内容から思わぬ被害が発生したり、場合によっては関係者に対して被害が及ぶ可能性があります。このような事態を防ぐためには、以下の対策の実施が効果的です。 長期休暇前の対策とは? ◆社内ネットワークへの機器接続ルールの確認と遵守 ウイルス感染したパソコンや外部記憶媒体等を社内ネットワークに接続することで、ウイルスをネットワーク内に拡散してしまうおそれがあります。長期休暇中にメンテナンス作業などで社内ネットワークへ機器を接続する予定がある場合は、社内の機器接続ルールを事前に確認し遵守してください。 ◆使用しない機器の電源OFF 長期休暇中に使用しないサーバ等の機器は、電源をOFFにしてください。 ◆機器やデータの持ち出しルールの確認と遵守 長期休暇に社外での対応が必要となるパソコン等の機器やデータ等の情報を持ち出す場合は、持ち出しルールを事前に確認し遵守してください。 ◆使用しない機器の電源OFF 長期休暇中に使用しない機器は電源をOFFにしてください。 長期休暇前の対策とは? ◆社内ネットワークへの機器接続ルールの確認と遵守 長期休暇中にOS(オペレーティングシステム)や各種ソフトウェアの修正プログラムが公開されている場合があります。修正プログラムの有無を確認し、必要な修正プログラムを適用してください。 ◆定義ファイルの更新 長期休暇中に電源を切っていたパソコンは、セキュリティソフトの定義ファイル(パターンファイル)が古い状態のままになっています。電子メールの送受信やウェブサイトの閲覧等を行う前に定義ファイルを更新し最新の状態にしてください。 ◆サーバ等における各種ログの確認 サーバ等の機器に対する不審なアクセスが発生していないか、各種ログを確認してください。もし何らかの不審なログが記録されていた場合は、早急に詳細な調査等の対応を行ってください。 ◆持ち出した機器等のウイルスチェック 長期休暇中に持ち出していたパソコンや、データを保存していたUSBメモリ等の外部記憶媒体にウイルスが混入していないか、組織内で利用する前にセキュリティソフトでウイルススキャンを行ってください。 ◆不審なメールに注意 実在の企業などを騙った不審なメールに関する相談が多く寄せられています。こういったメールの添付ファイルを開いたり、本文中のURLにアクセスしたりすることで、ウイルスに感染したり、フィッシングサイトに誘導されたりしてしまう可能性があります。 長期休暇明けはメールが溜まっていることが想定されますので、特に注意してメールチェックを行ってください。不審なメールを受信していた場合、添付ファイルは開かず、本文中のURLにはアクセスせず各組織のシステム管理者に報告し指示に従ってください。 【参考】独立行政法人情報処理推進機構セキュリティセンター「長期休暇における情報セキュリティ対策」

#利用者 #情報セキュリティ対策 #管理者 #長期休暇
Business Efficiency

January 3, 2024

Microsoft 365 を導入して事業継続計画(BCP対策)を!
Microsoft 365 を導入して事業継続計画(BCP対策)を! 事業継続計画(BCP)対策 とは? 事業継続計画(BCP)とは、自然災害や事件、テロといった緊急事態が起きた際、事業資産への被害を最小限に 食い止め、いち早く事業全体を復旧させるために、平常時や緊急時における対策や方法をまとめた計画のこと を言います。 平常時から BCP の重要性を認識して対策を講じておけば、いつどんな緊急事態が起きたとしても事前の準備 に従ってスムーズに対応が可能です。そのため、現代社会における企業のリスク管理分野でBCP対策は欠かせ ないものとなっています。 Microsoft 365 だからできるBCP対策の3つのポイントとは? Microsoft 365 では、スマホからでも簡単にメール、チャットで安否の確認ができます。 大規模な震災時、例えば2011年の東日本大震災では、電話がつながらない中でもネットは通じたためメールや SNSなどのツールを駆使し、家族の安否確認が行えたというケースもありました。 Microsoft 365でも Teams などからメールやチャットで連絡を取ることができるため、緊急連絡時にも安心です。 Microsoft 365のメールやドキュメントファイルのデータは、東日本・西日本の2拠点にある稼働率保証99.9%のデータセンターで大切に保管されています。東西2拠点でのデータセンターで互いに冗長化されたデータが保存されているため、どちらかが万が一稼働しなくなった場合でも、残った一方が全てをカバーして稼働できるようになっています。 そして、マイクロソフトでは年間約1,000億円もの資金を情報セキュリティ対策に投資しているため、世界的に 見ても最高水準のセキュリティ技術と体制を可能にしています。また、情報漏洩に対する安全対策も完璧で、 例えばメール機能では、アンチスパム、アンチウイルス、DKIM/DMARCはExchange Onlineの標準機能として 搭載されています。 Microsoft 365は、PCはもちろんスマホやタブレットなど、様々なデバイスでWordやExcel、PowerPointなどの アプリケーションを利用できます。これらを活用すれば、オフィスの自分のPC以外でも個人のスマホやPCを使ってWeb通話や会議、メール、チャットなどが利用でき、スムーズにコミュニケーションを取ることができます。 日本は自然災害の最も多い国の一つで、そのような日本でビジネスをする法人企業には BCP 対策は必須であると言えます。また設備の故障もいつ起こるかわかりませんし、情報漏えいもマルウェアがどんどん巧妙になってきている昨今ではいつ発生してもおかしくありません。 そして、これらが発生した後で「事前に対策をしておくべきだった」と考えても、もう手遅れです。 そこで、ぜひ Microsoft 365 を導入してみてください。Microsoft 365 の導入が、あなたの会社の BCP 対策となり、あなたの会社をしっかり守ってくれること間違いなしです。

#BCP #テレワーク #事業継続計画対策
クラウドセキュリティー対策

January 3, 2024

Microsoft のセキュリティがめっちゃすごい!
Microsoft のセキュリティがめっちゃすごい! マイクロソフトにおけるセキュリティの考え方とは? マイクロソフトの情報セキュリティは世界でも最高水準を誇っていますが、いくら優秀な情報セキュリティシステムを構築していたとしても、マイクロソフトでは「情報セキュリティは破られるもの」として考えるため「絶対に安心」という言葉は出てきません。 そこで重要なことは、情報セキュリティ対策を二重三重に張り巡らせたシステムを構築することです。 ハッカーが1つのアルゴリズムを突破しても他のアルゴリズムがあれば企業の大切な資産を守ることができます。また、情報セキュリティシステムを構築するだけではなく、それをいかに運用するかも同様に大切です。 マイクロソフトのセキュリティ対策とは? マイクロソフトは情報セキュリティ対策に年間約1,000億円の投資をしています。これはユーザーが安心してクラウドを利用するには「安全」であることが絶対条件であると考えているためです。 また、マイクロソフトは1日あたりで8兆件ものサイバー攻撃を処理しています。処理によって収集されたデータはマイクロソフトの情報セキュリティ知見をさらに高め、AIにも活用されています。 それから、マイクロソフトが取り組んでいる「バグバウンティ制度」も注目すべき点です。これは脆弱性に関するバグ報告に対して報奨金を支払う制度であり、ユーザー企業からの報告も柔軟に吸い上げて多角的に情報セキュリティ対策に取り組んでいます。

#セキュリティ
Business Efficiency

January 3, 2024

Microsoft 365 でペーパーレス化に取り組もう!
Microsoft 365 でペーパーレス化に取り組もう! 課題 その1 資料の保存場所や共有の仕組みがない いざペーパーレス化しようと思っても、資料を保存しておく場所も、資料共有の仕組みも整備されていない。 打ち合わせでは、いつも紙に印刷した会議資料を持っていかざるをえない。 Microsoft 365を使った解決策 OneDriveやTeams を使って資料を 共有しやすい環境を整備できます。 個人用クラウドストレージの OneDrive では、デスクトップのローカルフォルダとの同期設定により、ローカルフォルダへのファイル保存や編集を行う感覚そのままでクラウド上にも資料を保存・編集できますし、他者との共有も、共有URLをコピぺするだけで可能となります。 また、Teams は、プロジェクトやチーム間でのファイルの共有や共同編集にも最適です。一度Teams 上でシェアされたファイルは、即座にそのチーム間で共有されるので共同編集も可能になります。 課題 その2 クラウドサービスのセキュリティに不安があるので紙の方が安全では? 情報セキュリティの観点から、クラウドサービスを使うのが不安だと感じている。 クラウドだとどこからでも社内のドキュメントにアクセスできるようになってしまうし、それがきっかけで社外にドキュメントを持ち出されはしないか? あるいは不正にサインインされたりするのではないか?など、対策を考えるくらいなら紙のままでも良いような気がする。 Microsoft 365を使った解決策 セキュリティを向上する豊富な機で、クラウドサービスに対する不安を一気に払拭できます 機密情報などが含まれるファイルの暗号化、閲覧・編集の制限、コピー・画面ショットの取得・メール転送の禁止などファイルの操作許可レベルの設定や、いつ・どこで・誰がそのドキュメントを利用したかを追跡することも可能です。 このようにMicrosoft 365は、さまざまなセキュリティ対策の機能をご用意していますし、SLAも99.9%保証しています。 また、サーバーも国内2箇所に設置しお互いが冗長化されているため、有事の際も安心してご利用いただけます。 課題 その3 従業員のITリテラシーやスキルの不足 情報セキュリティの観点から、クラウドサービスを使うのが不安だと感じている。 資料のダウンロード一つ取っても、やり方を直接教えなければならない社員が多いなど、ペーパーレスに取り組むには従業員のITリテラシーやスキルの不足が不安だ。 それに活用方法を教えるための勉強会で会議室に人を集めるのも大変なので、なかなかペーパーレスに踏み切れない…。 Microsoft 365を使った解決策 Teams を使ったライブ配信で、ITリテラシーやスキルの育成が可能 Teams を使ったストリーミング配信を使えば、社内勉強会や研修を簡単に行うことができます。 通常のweb会議とは異なり、録画しながら配信する仕組みとなっているので、視聴者はライブで視聴することも、後から録画を見直すこともできるのでとても便利です。

#Microsoft 365 #クラウドサービス #セキュリティ #ペーパーレス #資料共有
クラウドセキュリティー対策

January 3, 2024

不正アクセス対策を怠ると情報得漏えいのリスクが高まる。適切な対策やシステムのメリットについてご紹介
不正アクセス対策が必要な背景 まずは、不正アクセス対策が必要な背景を解説します。 業務のオンライン化やリモート化 テクノロジーの進化やワークスタイルの変化にともない、業務のオンライン化やリモート化が進んでいます。業務をオンラインに移行すれば業務効率化に繋がりますし、業務をリモート化すればワークスタイルの柔軟性を得られるでしょう。 しかし、重要な情報をオンラインで管理する場合、セキュリティを強化する必要があります。極端な話をすると、オンラインにアップロードした情報は同じオンラインに繋がっている端末から閲覧することができるため、セキュリティを強化してアクセス制限を行う必要があるわけです。 正しいセキュリティを施すことができない場合、機密情報の漏洩といったリスクが生じるでしょう。 情報やデータの多様化、複雑化 情報やデータの多用化、複雑化により、不正アクセス対策が求められている側面があります。現代はテクノロジーの進歩にともない、従来では難しかったさまざまな情報を取得できるようになりました。 多くの細かな情報をビジネスに活用すれば、顧客ニーズの細分化や適切なアプローチに繋がります。情報やデータが顧客の真に求めていることを教えてくれるからです。 その分、データの取り扱いには厳重な注意を払う必要があります。顧客の個人情報やサービスの利用履歴、購入歴などが漏洩すると、プライバシーの侵害および具体的な損失が発生する恐れがあるでしょう。 ビジネスのグローバル化 ビジネスや経済のグローバル化により、世界と繋がっていることを想定して物事を進める必要性が生じました。グローバル経済下では「人」「モノ」「資金」「情報」といった重要なファクターが、世界中でやり取りされることになります。 それだけに、どこかから情報が漏洩してしまうと、数珠つながりに被害が拡大してしまう恐れがあります。昔のように「自社と一次取引先のみが被害に合う」という事態(それももちろん問題ですが)では済まない可能性があるため、より情報やデータの取り扱いに注意しなければならないわけです。 不正アクセスによる具体的な被害 では次に、不正アクセスによる具体的な被害を見ていきましょう。不正アクセス対策を適切に行わないことで、下記のようなリスクが生じる恐れがあります。 機密情報の漏洩 不正アクセスにより、機密情報の漏洩リスクが考えられます。適切な対策を行わず機密情報が漏れてしまった場合、自社だけでなく取引先や顧客にも大きな迷惑をかけてしまう可能性が考えられます。 顧客から預かっている情報には、顧客のプライバシーが記載されていることも多いのではないでしょうか。そういったものが流出してしまうと、顧客の氏名や住所、購買履歴といった情報が見知らぬ第三者に漏れてしまうことにもなりかねません。 取引先や顧客に迷惑をかけないためにも、しっかりとセキュリティを強化する必要があります。 社会的信用の失墜 社内の情報管理に対し不正アクセスを許してしまうと、自社の社会的信用が失墜してしまう恐れもあります。情報漏洩による顧客や取引先への悪影響は前述の通りですが、社会全体からも「この会社は情報管理のレベルが低い」とみなされてしまうでしょう。 そうなると、新たな顧客や取引先を開拓するのが難しくなるケースも考えられます。顧客や取引先が自社に情報を預けてくれるのは「この会社なら情報をしっかりと保護してくれる」という信頼があるからではないでしょうか。 そこに不信感が生じると、事業がスムーズに進まなくなる恐れがあります。 金銭的損失 不正アクセスによる直接的な被害は信用の失墜などが多いですが、場合によっては金銭的損失が発生するケースもあります。例としては、下記のようなものが挙げられるでしょう。 自社のサーバーやクラウドが不正アクセスに合いデータが消失してしまった場合、復旧に費用がかかるケースが考えられます。また、不正アクセスによりデータが攻撃者にロックされてしまった場合、解除に身代金を要求されることもあります。 その場合にどういう対応をするのかは状況によって変わりますが、いずれにせよ本業外の部分で余計な手間を取られてしまいます。 不正アクセスを防ぐにはどんな対策が有効か それでは、次に不正アクセスを防ぐための手段について、いくつか解説します。 デバイスやネットワークを適切に設定する デバイスやネットワークを適切に設定することで、不正アクセス防止効果が見込めます。デバイスやネットワークの設定ミスで意図していない脆弱性が発生し、そこから侵入されるというケースもありえるでしょう。 どのように設定すればベストかはケースバイケースですが、ポイントは「セキュリティと利便性のバランスを考える」ことです。一般的に、システムをセキュアにすればするほど利便性は低下する傾向があります。 あまりに利便性が低下してしまうと、業務に支障が出る可能性もあるかもしれません。反対に、利便性を追求しすぎてセキュリティが甘くなってしまうのも本末転倒です。 自社の業務特性やニーズを鑑み、適切な設定を施しましょう。 業務に利用する端末を管理する 業務に利用する端末をしっかりと管理することで、不正アクセスのリスクを軽減できます。業務のIT化やオンライン化が進んだことで、さまざまな端末が業務活用されるようになりました。 従来のような業務端末が全て社内ネットワーク下にある場合、厳密な端末管理は必要なかったかもしれません。しかし、現代では社外からインターネットを通して社内のシステムにアクセスする機会も多くなったため、端末管理の必要性が高まりました。 ネットワークセキュリティは、そこに接続するデバイスも含めて考えることが大事です。ある端末に脆弱性が生じていると、他がいくらセキュアでも不正アクセスの温床になってしまいます。 業務に利用する端末をあらかじめ登録し管理することで、ネットワーク全体をセキュアに保つことができます。 社員のリテラシーを向上させる 従業員のリテラシーを向上させることで、不正アクセス対策に繋がります。不正アクセスが行われる経路にはさまざまなものがありますが、中には「従業員の手を通じて」というケースも考えられます。 もちろん、従業員自身が悪意を持って攻撃者を手助けするわけではありません。フィッシングメールを通して不正なプログラムを実行させたり、脆弱性のあるデバイスやアプリを通して不正アクセスを試みるなどの例が挙げられます。 他にも「機密情報が保存されているデバイスを紛失した」といったオフラインのヒューマンエラーも考えられるでしょう。実際に情報を取り扱うのは従業員自身なので、システム面だけでなく、彼らのリテラシーを向上させる必要があるわけです。 適切なアクセス制限を行う 適切なアクセス制限を行うことで、不正アクセス対策に繋がります。アクセス制限とは「どのアクセスを通してどれをブロックするか」といったポリシーを定めることです。 原則的には「信頼できないアクセスは全てブロックする」になるでしょう。ただし、信頼のラインを強めに引けば引くほど業務の利便性が低下することになるため、バランスが大事です。 適切な端末管理を行っている場合、例えば「登録されている端末が信頼できる通信網を利用している場合のみ通す」などの設定が考えられます。 トラストレスな仕組みを構築する トラストレスな仕組みを構築することで、不正アクセスを防ぐ効果が見込めるでしょう。トラストレスとは「双方の信用を必要としない仕組み」のことであり、トラストレスなシステムを構築できれば「信頼できようができまいが物事が正常に進行する」といった状況を作れます。 一例としては、エスクローやブロックチェーンの仕組みなどが挙げられます。エスクローは一方があらかじめ第三者に規定の金額を支払い、条件が完了次第相手方に規定の金額が支払われる仕組みです。 厳密に言うと第三者への信頼が必要ですが、取引を行う双方間はトラストレスです。セキュリティに関しても同様の仕組みを構築できれば、仮に悪意のある人間がいたとしても脆弱性の発生を防げます。 セキュリティソフトを導入する トラストレスな仕組みを構築するには、セキュリティソフトの導入がポイントです。高性能なセキュリティソフトを各デバイスにインストールすれば、自動的に脆弱性が発生するリスクを軽減してくれるでしょう。 セキュリティソフトにはそれぞれ特色があるため、自社のニーズを明確にした上で製品の選定を行う必要があります。セキュリティの強さや更新頻度の高さ、搭載機能、運用のしやすさといった観点を踏まえ、総合的に判断することが大事です。 セキュリティシステム導入のメリット […]
クラウドセキュリティー対策

January 3, 2024

社内端末管理を行えばセキュリティ強化に繋がる。セキュリティ向上ポイントやシステムについて解説
社内端末管理が必要な理由 まずは、社内端末管理が必要な理由について解説します。 業務にITが必須の時代 現代では、業務へのIT活用が必須の時代となりました。ITを全く業務に取り入れていない企業はゼロとは言いませんが、非常に珍しいかもしれません。 なぜ各企業は業務にITを取り入れるのでしょうか。さまざまな理由がありますが、大きなものとしては「業務効率化」が挙げられます。 ITによる作業自動化や情報共有を行うことで、業務を大幅に効率化させることが可能です。効率化したワークフローを活用している企業はそうでない企業と比べ、多くの面で有利になります。 さまざまなデバイスからのアクセスを想定 ITを業務活用する場合、システムの中核となるサーバーにはさまざまなデバイスからのアクセスが想定されます。現代ではPCに加えスマホやタブレットといった端末が利用されることも多く、PCに比べると主に場所的な柔軟性を高めることができるでしょう。 しかし、利便性を向上させることでセキュリティリスクが生じてしまうケースもあります。多くの人がさまざまな環境からアクセスしてくることで、今までにはなかったような脆弱性が生まれる恐れがあるからです。 社内端末管理を適切に行うことで、柔軟性を担保しながらセキュアな業務遂行が可能になります。 場合によってはBYODを許可することも 業務に利用する端末は原則的に会社が保有するものになりますが、場合によってはBYOD(Bring Your Own Device)を許可することもあるかもしれません。BYODは「自身のデバイス持ち込み」という意味を持つ言葉であり、従業員がプライベートで使用している端末をそのまま業務に活用するやり方です。 BYODの利点としては「新たにデバイスを購入する必要がないことによるコスト減」が挙げられます。反面、デメリットとして「セキュリティリスクが増大する」点が考えられるでしょう。 プライベートで活用されているデバイスには、私的に使うアプリや設定がインストールされています。そこに脆弱性が生じるとBYOD端末を通じてサーバーに不正アクセスが行われたり、端末に保存している機密情報が漏洩する恐れがあります。 BYODを行う際は、より厳密な端末管理を行う必要があるわけです。 適切な端末管理をしないとどうなる? 適切な端末管理を行わない場合はどうなるのでしょうか。端末管理の不備によるリスクをもう少し詳しく見ていきましょう。 セキュリティリスクが高まる 一つ目の懸念は、セキュリティリスクの増大です。社内端末管理を行わない場合、従業員が利用しているデバイスはそれぞれの従業員が管理することになります。 端末利用による適切なルールが設けられていない場合、シャドーITやバージョンアップデートの遅延といったリスクが考えられるでしょう。シャドーITとは、会社に許可を得ず自己判断でアプリなどをインストールし業務活用することです。 世の中にはさまざまなアプリが開発リリースされており、全てが完全にセキュアなわけではありません。脆弱性を持つアプリを業務に利用することで、そこから情報が漏洩してしまうリスクが発生します。 また、OSやアプリのバージョンアップデートを適切に行わない場合も、脆弱性が生じる恐れがあるでしょう。 IT利用の統制がとれなくなる 社内端末管理を正しく行わないと、IT利用の統制がとれなくなる恐れがあります。そもそも「IT利用の統制」とは、一体どのような概念でしょうか。 現代において、業務に活用しているサーバーは場所やデバイスなど、多種多少な条件下でのアクセスが想定されます。それら全てに完全に対応できればよいのですが、門戸を広くすればするほどセキュリティリスクが向上するのも事実でしょう。 リスクを避けるために、ある程度デバイスの種類や設定を絞りこむことは有効な手段です。そのためにも社内端末管理を適切に行う必要があり、それが難しい場合はセキュリティか利便性のどちらかを選ぶことになります。 業務が滞る 社内端末管理が正しく行われない場合、業務が滞ってしまう可能性も考えられます。「端末管理が杜撰なため脆弱性が発生し情報漏洩」というのは最悪のケースですが、それ以外にも、下記のようなものが挙げられるでしょう。 ITを業務活用する大きな理由の一つに「業務効率化」があります。ITを活用することで逆に手間が増えてしまうのであれば(かつそれが利点を超えるのであれば)、何のためにITを導入したのかが不明確になってしまいます。 社内端末管理のセキュリティ向上ポイント では次に、社内端末管理におけるセキュリティ向上ポイントを解説します。 原則的に専用の業務用端末を活用する 業務に活用する端末は、原則的に会社の管理下にある専用のものを利用しましょう。BYODを許可するケースもありますが、端末管理の難易度が上昇するため、業務用と私用は分けた方が無難です。 業務用端末を活用するメリットとしては、下記のようなものが挙げられます。 業務用端末として会社が用意し設定した端末を活用することで、IT全般の管理統制が容易になります。管理統制が容易になれば「(ITを通して)今何が起きてるのか」を把握しやすくなり、さまざまなリスクの排除に繋がるでしょう。 業務に利用する端末は全て登録し管理する 原則的に、業務に利用する端末は全て登録し管理することをおすすめします。どのように管理するかはケースバイケースになりますが、例としては下記のようなものが挙げられます。 全ての端末でOSやアプリの統制を図り、登録されていない端末からのアクセスをブロックすることで、全体的なセキュリティを強化できます。 なるべく個人によるアップデートやインストールを行わない なるべく端末利用者個人によるアップデートやインストールを行わないことで、セキュリティ強化に繋がります。端末の利用者個人が管理者に許可を得ず勝手にアプリなどをインストールし業務活用することを「シャドーIT」と呼びますが、一般的にシャドーITが増えれば増えるほどセキュリティに問題が生じやすくなります。 シャドーITを行ったからといって、直ちにリスクが発現するわけではありません。しかし、アプリそのものに脆弱性がなくとも利用者の設定ミスなどから情報が漏れてしまう可能性もあるため、一律不可にした方が無難でしょう。 ただし、完全に禁止してしまうと業務に支障が出るケースも考えられます。その場合は、利便性とセキュリティを比較し、自社にとってベストなバランスを模索する必要があります。 信頼できるデバイス以外からのアクセスを制限する 信頼できるデバイス以外からのアクセスをブロックすることで、端末に由来する脆弱性を排除することが可能です。あらゆる端末からのアクセスを許可すればするほど業務の利便性は向上しますが、セキュリティは悪化します。 逆に、信頼できる端末からのみアクセスを許可すると、いざという時に柔軟性が損なわれてしまうでしょう。たとえば、下記のような例が考えられます。 これらを許可するか否かは、自社のセキュリティポリシーによって定まります。全て許可しない方がセキュリティ保護に繋がりますが、そのせいで機会損失などが発生する場合は考えた方がよいかもしれません。 リテラシー教育を行う 従業員にリテラシー教育を行うことで、セキュリティの向上に繋がります。情報セキュリティはITシステムの脆弱性に起因することもありますが、単純なヒューマンエラーによるところも大きいのが事実です。 ヒューマンエラーに起因する例として、下記のようなものが挙げられるでしょう。 どれもセキュリティに対する基本的な知識があれば防げる事態です。ヒューマンエラーを完全にゼロにすることはできませんが、リテラシーを高めることにより確率の低下は見込めるでしょう。 端末管理システムを活用する 専用の端末管理システムを活用することで、セキュリティを担保しながらデバイスの柔軟な業務活用が可能になります。端末管理を手作業でやるという選択肢もありますが、さまざまな業務をIT化することにより効率がアップするのと同様、端末管理も専用のシステムを導入した方が効率化を促せます。 […]
クラウドセキュリティー対策

January 25, 2024

クラウドセキュリティの必要性とは?導入成功のためのポイントや注意点を解説
現代においてクラウドはなくてはならないものになりました。クラウドを活用することで業務の利便性を大きく向上させられる反面、セキュリティリスクが増してしまう可能性もあります。 この記事では、クラウドセキュリティの必要性やリスク、対策や具体的なリスクケースなどを解説します。クラウドに対する理解を深め、情報やデータの保護に努めましょう。 クラウドセキュリティを考える必要性 なぜ今クラウドセキュリティの重要性が高まっているのでしょうか。まずは、クラウドセキュリティの必要性について解説します。 クラウドコンピューティングの利用が増大している 現在では、従来のようなオンプレミス型ではなく、クラウドコンピューティングの利用が進んでいます。業務システムには大きく分けて「オンプレミス」と「クラウド」の二種類の利用形態が存在します。 オンプレミス形態は、ソフトウェアを走らせたり、データを保管する機器を自前で調達し、管理運用を自社内で行う形式です。対して、クラウドはベンダーが管理しているサーバーでソフトウェアやデータを保管し、ユーザーはそこにアクセスしてシステムを利用するやり方です。 クラウドのメリットとしては、下記のようなものが挙げられます。 クラウド最大の利点としては、サーバーやストレージ機器を購入する必要がないことによるコスト減が挙げられるでしょう。システムの導入や運用にはそれなりのコストがかかりますが、クラウドを利用すれば比較的安価ですみます。 また、アップデートやメンテナンス、各種セキュリティ設定をベンダーが自動的に行なってくれるのもメリットです。オンプレミスの場合、その辺りも自分達でまかなう必要が生じます。 クラウドは便利な反面、リスクもある クラウドにはさまざまなメリットがありますが、反面デメリットやリスクも存在します。一例としては、下記のようなものが挙げられるでしょう。 クラウドシステムを利用する場合、運用を自社で100%コントロールすることはできません。ソフトウェアやデータは基本的にベンダー管理下のサーバーに保管されることになるからです。 そのため、サーバー領域のセキュリティはベンダー側で管理することになりますが、アクセス経路などの部分はユーザーが管理するのが一般的です。どのような通信網を使い、どのようなデバイスでアクセスするか、をしっかりと管理することが求められます。 クラウドセキュリティを確保しないと安全に業務を進められない クラウドに限らず、セキュリティの重要性は日に日に増しています。業務がオンラインに移行したことにより、今までには考えられなかった脆弱性が生まれるようになり、そこから被害や損失が発生しやすくなりました。 「じゃあITやクラウドを使わなければいいのでは?」と思う人もいるかもしれません。しかし、今やITやクラウドを使わず業務を進めるのは大変難しい状況です。 従来にはなかったようなリスクを抱えるのは事実ですが、それにも増して利便性や生産性の向上が見込めます。極端な話、同業他社がITやクラウドを活用して生産性を上げているのに自社だけが使っていない場合、シェアを根こそぎ奪われてしまう可能性も考えられます。 ITやクラウドが必要である以上、セキュリティを担保して業務に臨む必要があるわけです。 クラウドセキュリティの対象となるサービス クラウド環境で発生するセキュリティリスクへの対策であるクラウドセキュリティは、どのようなサービスをセキュリティ対象としているのでしょうか。 クラウドサービスには、Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)、Oracle Cloud Infrastructure(OCI)など、知名度の高いサービスを含め、様々なものがあります。 こちらでは、クライドセキュリティの対象となるサービスについて解説いたします。 クラウドセキュリティはサービスごとに特徴や目的が異なるため、事前に導入の目的を明確にして、適切なサービスを選択してみてください。 オンプレミス まず初めに、オンプレミス型のセキュリティ対策についてご紹介いたします。オンプレミスとは、クラウドセキュリティの登場以前に主流だったシステムの利用形態です。 オンプレミスでは、パソコンやサーバなどの端末やネットワークといった環境を、自社で所有し運用します。サーバやネットワークの管理や責任の範囲が社内と社外で明確に分かれているため、自社で一貫したセキュリティ対策を実施できるというメリットがあります。 ただし、オンプレミスの場合は社内にネットワーク環境を構築する必要があるため、広いスペースを占用する必要があったり、導入や運営の費用負担が大きいという懸念点があります。 オフィススペースを圧迫することなく、また拡張性や費用面の自由度が高いクラウドサービスは、今後も需要が高まっていくことが予想されます。 IaaS IaaSとは、ネットワークやサーバ、ストレージ機能などのインフラを、インターネット経由で提供するサービスです。IaaSでは、自社でサーバーなどのハードウェアをもたずにインターネット経由で必要な時に必要なだけサーバーやストレージ、ネットワークリソースを利用することができます。 機能の購入にかかるコストを抑えつつ、メモリ容量やストレージなどを自由に設定して環境を構築することができるので、自社の特性に合わせた環境構築を行いたいとお考えの方におすすめです。 IaaSの運用は基本的に自社で行わなければならないため、各々でセキュリティ対策を行う必要性があります。具体的には、Webアプリケーション・ミドルウェア・OSのセキュリティ対策に取り組まなければなりません。 クラウドセキュリティの利用と合わせて、利用側も独自のセキュリティ対策に取り組むことで、セキュリティリスクの発生を予防することができます。 PaaS PaaSとは、クラウドにあるプラットフォームが利用できるサービスです。大規模なデータセンターに、アプリケーションを稼動するためのネットワーク、サーバシステム、OSやミドルウェアなどのプラットフォームが用意され、企業ユーザがそのプラットフォーム上で開発を行うことができます。 PaaSを活用すると、アプリケーションの稼働基盤を構築・運用する手間を削減できます。 利用側はデータからアプリケーションまでに領域に対するセキュリティ対策を実施する必要があります。アプリケーションに潜む脆弱性にいち早く気付くには、脆弱性診断の実施が有効です。 また、サイバー攻撃に対する予防策としては、セキュリティ対策ソフトの導入がおすすめです。 SaaS SaaSとは、クラウドにあるソフトウェアを利用できるサービスです。アカウントをもっていれば、インターネット経由でどこからでもアクセスすることができます。 SaaSを活用することで、チーム間のファイルやデータを共有した利用が可能となります。ソフトウェアのバージョンアップがサービス提供者側で更新されるのも特徴の一つです。 SaaSにおけるアプリケーションの防御からサービス運用までは、サービスプロバイダがセキュリティの責任を負います。利用側はデータやコンテンツに対してセキュリティ対策を行う必要があります。 また、利用側がアクセス権限をきちんと管理することも重要です。 クラウドセキュリティを導入するメリット・デメリット 次に、クラウドセキュリティを導入するメリット・デメリットについて解説いたします。 クラウドサービスの導入を検討している場合は、ぜひ参考にしてみてください。 クラウドセキュリティを利用するメリット […]
クラウドセキュリティー対策

January 3, 2024

メールにはいくつかのセキュリティーリスクがある。具体的なリスクや対策について解説
メールセキュリティーとは? まずはメールセキュリティーとは何なのかについて解説します。 メールセキュリティーとは、ビジネス等で使用するメールを脅威から防御するセキュリティー対策のことを指します。外部から届くメールや、不審なURLや添付ファイルなど、メールが晒されている脅威は様々です。 特に近年は、フィッシング詐欺やビジネスメールを装った不正メールなど、その手口は巧妙化しています。 代表的なメールを利用したサイバー攻撃としては「フィッシングメール」「スパムメール」「標的型攻撃メール」などが挙げられます。これらの攻撃の被害に遭った場合、情報漏えいなどのリスクが生じることが考えられます。 会社で当然のように使用するメールを介して、個人情報や企業機密などの重要な情報が漏えいすることを防ぐためにも、企業はメールセキュリティーを徹底する必要があるのです。 メールにはどんなセキュリティーリスクがある? メールを利用することでどのようなリスクが生じるのでしょうか。まずは、メールのセキュリティーリスクについて解説します。 通常の送受信のみであればそれほどのリスクはない 通常の送受信のみであれば、それほどのリスクはありません。あくまで文字情報のみのやり取りに限定され、それだけでデバイスやネットワークに攻撃を行うのは難しいからです。 ただし、文字情報を用いた情報漏洩のリスクはあります。たとえば「信頼できる組織や人を騙ったメールが届いたので、情報を記載し返信してしまった」などの例が挙げられるでしょう。 攻撃者が必ずしもプログラム的な攻撃を仕掛けてくるとは限りません。「求める情報を得る」のが彼らの目的だからです。 URLや添付ファイルに注意 文章内にURLが記載された添付ファイルを送られている場合には注意が必要です。悪意のあるサイトに誘導するURLを踏んでしまい攻撃のためのファイルを開いてしまうと、大きなリスクが発生します。 詳しくは後述しますが、こちらは主に悪意のあるプログラムをベースとした攻撃になります。防ぐには、プログラムを実行しないことが大事です。 通常の脅威の他に、誤送信などのリスクもある メールを利用するリスクとして、誤送信なども挙げられます。メールは遠く離れた相手に瞬時にメッセージを送れる便利なサービスですが、送信先のメールアドレスを間違えると正しい相手に届きません。 存在しないメールアドレスであれば情報はどこにも送られず、漏洩する可能性は低いでしょう。しかし、万一想定していない第三者に送ってしまった場合、そこから情報が漏れてしまう恐れがあります。 防ぐには「メールアドレスをしっかりと確認する」「タイピングではなくアドレス帳から送信する」などの工夫が有効です。 セキュリティーリスクを放置するとどうなる? 次に、セキュリティーリスクを放置するとどうなるかを考えてみましょう。リスクを放置したからといって直ちに被害が発生するわけではありませんが、常に危険をはらむことになります。 情報が漏洩し関係者に迷惑がかかる可能性がある セキュリティーリスクを放置し情報が漏洩してしまった場合、自社だけでなく関係者に迷惑がかかってしまう恐れがあります。情報漏洩による自社の損失は言うまでもありませんが、顧客情報が流出した場合は顧客に、取引先の情報が流出した場合は取引先に被害を与えてしまいます。 そのような脅威を誰かに与えてしまった場合、サービスや製品が利用されなくなり、取引を切られてしまう可能性もあるでしょう。自社だけでなく、関係者を守るためにもセキュリティに気を配る必要があります。 自社の競争優位性が失われる可能性がある セキュリティーリスクを放置し具体的な被害が発生することで、自社の競争優位性が失われてしまう可能性があります。サイバーアタックを受けて損失が発生してしまうと、自社の社会的評価が下がるからです。 社会的評価が下がってしまうことで自社に対する信頼が揺らぎ、取引に必要な情報を委ねてくれなるなどの損失が考えられるでしょう。ビジネスがオンラインに移行している現代において、ITセキュリティーに気を配るのは必須と言って過言ではありません。 最悪、データやシステムがロックされてしまうことも セキュリティーリスクを放置することで、最悪データやシステムがロックされてしまう可能性もあります。データやシステムが攻撃者の手によってロックされてしまったら、それらを使って業務を遂行することができなくなります。 攻撃者は何のためにデータやシステムを暗号化するのでしょうか。それは主に「自身の要求を通すため」です。 分かりやすいのが「データやシステムのロックを解除してほしければ言われた額を支払え」といったものです。攻撃側の動機として「攻撃を行うことで自身に何らかの利益が発生する」が挙げられます。 逆に言うと「彼らの利益の源泉に成りえるものは何か?」を考えることでセキュリティーリスクを潰すことができるかもしれません。 メールを利用した具体的な攻撃手法 続いて、メールを利用した具体的な攻撃手法をいくつかご紹介します。これらが全てではありませんが、攻撃方法の一種として覚えておきましょう。 マルウェア マルウェアとは、悪意をもって作成されたソフトウェアやコードのことです。メールにおけるマルウェアの感染経路としては、下記のようなものが考えられます。 添付ファイルやURLをベースにした攻撃は比較的対処が容易(添付ファイルやURLを開かない)ですが、問題はHTML形式で送られるメールです。HTMLは主にWebサイトを作成する目的で使われる言語なので、通常のテキストに比べてできることが非常に多いです。 場合によっては「HTMLメールを受信しない」ことも視野に入れましょう。 フィッシング フィッシングとは、信頼できる誰かの名前を偽り、悪意ある電子メールを送ることで特定のサイトに誘導し、情報を盗み出す行為です。たとえば、下記のようなものが挙げられるでしょう。 「銀行」や「有名なECサイト」を騙り偽のサイトに誘導し、そこで情報を入力し送信させる手法です。防ぐには「送信元を今一度確認する」「指定URLではなく公式サイトから確認する」などが考えられるでしょう。 標的型攻撃 標的型攻撃は、まず標的対象の組織を定め、その周辺を調査しあらゆる手段を講じて攻撃を試みる手法です。メールに限定して話をすると、主な手段は「ウイルスに感染するためのメールを(継続して)送る」というものが挙げられます。 攻撃方法自体はマルウェアと大差ないかもしれませんが、問題は相手側の情報収集性や継続性です。標的型攻撃が行われる場合、攻撃者は組織やそこに属する個人について情報収集し、可能な限り効果的な形で攻撃を行います。 万人を対象としたランダム的なマルウェアとは異なり、特定の対象にフォーカスした分信用されやすいわけです。標的型攻撃を防ぐのは非常に難しいですが、高品質なセキュリティシステムを導入し包括的に情報を保護するなどが対策として挙げられるでしょう。 近年のメールにおける主な脅威とは メールへのサイバー攻撃の多くは、様々な技術と組み合わせて、他の攻撃と同時に実行されます。例えば、スパムメールにフィッシングURLが添付された場合は、使用しているアカウントが乗っ取られてしまうこともあります。 このような被害を防ぐためには、サイバー攻撃の性質と特性を理解して、適切な対策を講じることが重要です。 そこでこちらでは、近年のメールにおける驚異について紹介します。 ウイルス感染を広める「Emotet」 「Emotet」は、不正なメールに添付される不正なファイルを介して拡散されるウイルスです。Emotetに感染すると、メールアカウントやメールデータが剽窃され、他のウイルスに二次感染してしまう場合があります。 Emotetの感染を利用した攻撃は非常に狡猾で、正規のメールへの返信を装った手口が多いです。 攻撃者はターゲットの情報を抜き取り、実在の相手の氏名、メールアドレス、メールの内容を使用して、あたかも普通のビジネスメールかのように装って、ウイルスを送りつけるのです。 Emotetの恐ろしい点は、感染者からさらに情報を抜き取り、被害を拡大させることも可能なことです。社内で誰かが感染すると、次々に機密情報が抜き取られてしまうことも考えられます。 情報漏えいのリスクを予防するためにも、徹底的な対策が必要です。 […]
クラウドセキュリティー対策

April 22, 2024

Microsoft Intuneとは?IntuneとAzure Active Directoryでデバイスを管理しセキュリティを高めよう
Microsoft Intuneとは何か Microsoft Intuneとは、どのようなツールなのでしょうか。まずはIntuneについて解説します。 デバイスを管理するためのツール Microsoft Intuneは、主にPCやスマホなどデバイスを管理するためのツールです。汎用OSであるWindowsや一般業務アプリであるOfficeをリリースしているMicrosoft社が手掛けています。 Intune導入の背景 何故、今Intuneの導入が必要なのでしょうか。Intune導入の背景を見ていきましょう。 業務が柔軟的になった 一つは、以前に比べて業務が柔軟的になったことが挙げられます。ITテクノロジーを駆使することで社内だけでなく社外からでもモバイル端末を通し、社内のシステムにアクセスができるようになりました。 それにより利便性や生産性は大きく向上しますが、反面セキュリティリスクを抱えることにもなります。そこでIntuneによりシステムにアクセスするモバイル端末を適切に管理し、セキュリティを担保するわけです。 テレワークが一般的になった もう一つは、テレワークが一般的になったことが挙げられます。従来のワークスタイルは決まった時間にオフィスに出社し、業務時間が終了したら退勤するというものでした。 そういったオフィスメインの業務スタイルにもメリットがありますが、通勤による疲労や災害リスクなどのデメリットも生じます。テレワークに移行すればそういったデメリットは避けられますが、今度は「さまざまな環境から社内のシステムにアクセスが試みられる」といった状況が発生します。 社内ネットワークの内部に全ての端末があれば、さまざまな面で管理がしやすくなります。しかし、テレワークのように外部からのアクセスがメインになれば、各デバイスがポリシーに準拠しているかどうかを判別する必要が生じます。 Intuneによりモバイル端末を管理することで、その辺りを見極めることができます。 Azure Active Directoryと条件付きアクセス Azure Active Directoryは、クラウドベースのユーザやアクセス管理ためのサービスです。 Azure Active Directoryは、Intuneと同じくMicrosoft社が手掛けています。 Azure Active Directory には、様々な条件でアプリケーションへのアクセスを制御する条件付きアクセスという機能がります。 条件はIPアドレス、所属するグループ、ユーザー、デバイスなど複数の条件を組み合わせることができ、条件に満たないユーザからのクラウドに対するアクセスをブロックすることができます。 Azure Active Directoryはクラウドのアクセス管理するためのツール Azure Active DirectoryとIntuneの大きな違いは、Azure Active Directoryが主にクラウドのアクセス管理するためのツールである点です。 対して、Intuneはデバイスを管理するためのツールです。Intuneで端末を社内のポリシーに準拠させることができます。 現代ではクラウド環境で業務が完結することは少ないため、条件付きアクセスの条件にポリシーに準拠したデバイスのみとすることで、外からのクラウドのアクセスに対するセキュリティを強固にすることができます。 Azure ADが名称を変更Microsoft Entra IDへ Microsoft Entra製品との連携をしやすくするために、2023年10月からAzure ADの名称がMicrosoft Entra IDに変更しています。 セキュリティで保護された全てのアクセスエクスペリエンスを、ユーザーにとってわかりやすくシンプルにするというMicrosoftの取り組みの一つとしての変更です。 現在Azure ADのサービスを使用している場合は、サービスが中断されることなく、全ての機能を引き続き使用できます。使用していくにあたり、ユーザーによる新たな設定は必要ありません。 IntuneのMDM(モバイルデバイス管理)とMAM(モバイルアプリケーション管理) Microsoft […]

#Intune #MicroSoft

担当者に今すぐ質問する

簡単な情報入力でBizwind担当者が
お電話にて回答いたします!

すぐに電話で質問
日時指定で折り返し

以下の内容をご記入・送信ください。
確認次第お電話を差し上げます。

    以下の内容をご記入・送信ください。
    確認次第お電話を差し上げます。