4.ファイアウォールを使っていない、またはファイアウォールが緩すぎる
自宅でPCを使っている場合でも、企業のIT部門を率いている場合でも、ファイアウォールは必要な機器だと考えるべきだ。WindowsやそのほかのOSにはファイアウォールが組み込まれているが、わたしは何らかのハードウェアによるファイアウォールを置く方がよいと思っているし、前述のソフトウェアファイアウォールと組み合わせられれば、さらに望ましい。さらに、設置されるファイアウォールは、上手に設置されていなければならない。
対処法:可能であれば、自宅にもオフィスにもハードウェアによるファイアウォールを設置すること。そして、ファイアウォールのルールが、内部ネットワークへの不必要な通信を許さないようになっていることを確認すること。
5.パッチを適用しない
OSベンダーやアプリケーションベンダーがソフトウェアパッチを出すのには、それなりの理由がある。新しい機能を追加するアップデートも多いが、製品のセキュリティ上の欠陥を修正するものも多い。わたしは、ユーザーがソフトウェアアップデートを無効にしている家庭用PCを数多く見てきた。企業の場合、ネットワークのエッジに設置したファイアウォールが組織全体を守っているという理由で、パッチを適用しない場合もある。しかし、正規のトラフィックが脆弱性を突くこともあり得るため、これはよい戦略とは言えない。
対処法:マシンにパッチを適用すること。自動アップデートを有効にし、組織におけるしっかりとしたパッチ管理の方針と手続きを実施すること。
6.安全でない形でデータが保存されている
読者のうち何人が、取り扱いに注意が必要なデータ(個人情報や仕事のデータ)をUSBメモリに入れたことがあるだろうか。そのUSBメモリを持って表に出たことはあるだろうか。わたしは、USBメモリを例えばキーホルダーにつけて持ち歩いているのをよく見かける。また、そのストレージがデスクなどの上に放置されていることも多い。
読者のうち何人が、組織のデータをテープにバックアップしているだろうか。そのテープは建物外に出ているだろうか。もし出ている場合、常にコントロール下に置かれているだろうか。
保護されていないデータは大きな問題だ。間違った情報が入ったUSBメモリ1つ、ラップトップやiPodが1台、あるいはテープが1本失われるだけで、組織は財務的、法的、あるいは広報活動的な観点から窮地に陥る可能性がある。
対処法:あらゆる持ち運びできるものには、できるだけ暗号を施すこと。ほとんどのバックアップソフトウェアは、テープのデータを暗号化するよう設定できるし、ラップトップや持ち運び用ストレージデバイスの保護には、BitLockerやBitLocker To Goなどのツールが利用できる。その他のモバイルデバイス(例えばiPad)には、特に秘密を要する情報を個別に暗号化して保護する、モバイル管理セキュリティソフトウェアの利用を検討するとよいだろう。
7.アクセス権限に関して寛大すぎる
企業では、ユーザーができることとできないことは、アクセス権限によって決まる。従業員が何でもできるようにする簡単な方法は、管理者権限ですべてのものにアクセスできる白紙委任状を与えることだが、この場合、瞬く間に混乱状態に陥るだろう。このため、多くの組織では方針と体制を持っており、仕事に応じたニーズに従って、各人に特定のアクセス権限を与えている。しかし、時間が経つにつれて、残念ながら「状況の変化」が起こってくる。組織内で異動が行われても以前の権限がそのままになっていたり、一時的に与えられたアクセス許可がそのままになっていたり、といったことだ。
対処法:会社がアクセス権限に関する明確な方針を持っていることを確認する。その方針と手続きには、定期的なアクセス権限の見直しが含まれており、現在のニーズと既存のアクセス権限を合致させるようになっていなくてはならない。不要になったアクセス権限は取り除かれるべきだ。
