8.Wi-Fiに弱いセキュリティを選択している(あるいはセキュリティがない)
オープンなWi-Fiネットワークに関するリスクはよく知られているにも関わらず、完全にオープンで安全でないWi-Fiネットワークは今でも非常に多い。その一部は一歩進んで、広くサポートされているWEP(Wired Equivalent Privacy)を保護の仕組みとして利用しているが、WEPの暗号はわずか4秒でクラックできる。それでも、暗号化がまったくないよりはいい。暗号化がないのはリスクが大きい。
対処法:最低でもWPAを利用すること。できれば、WPA2を利用するのが望ましい。WPA2は、最近のほとんどのOSでサポートされている新しい無線セキュリティ標準だ。WPA2を採用したら、無線パスワードも強いものを選択すること。このパスワードが簡単に推測できるものであれば、無線の保護は意味が無くなってしまう。WPA2もクラックすることは可能だが、WEPやWPAに比べればはるかに難しい。
9.基本的なモバイルデバイスセキュリティを利用していない
モバイルデバイスは今後、ハッカー天国となるだろう。多くの人は何らかの種類の暗号化されていない個人情報を持つデバイスを持ち歩いており、これらのデバイスはすぐにアクセス可能だ。なくなったり、盗まれたりすることもある。前述のとおり、モバイルデバイスにどんな種類の情報が入っているかをよく考え、重要度が高いものは削除するか、秘密を要する情報を分けておけるソフトウェアを検討することも必要だ。しかし、気軽に情報をのぞき見ようとする人が、簡単に情報にアクセスできないようにしておく必要もある。
対処法:これは基本的なことだが、最低でも、会社の情報にアクセスするモバイルデバイスユーザーに、何らかの形のパスコードの利用を強制する必要がある。これは、本気で情報を得ようとする相手を妨げることはできないが、たまたまデバイスを手に持った人がちょっと情報をのぞき見るのは防ぐことができる。
10.バックアップをテストしない
すべてのセキュリティメカニズムがうまく働かず、環境のセキュリティ侵害が深刻で、システムとデータがもはや信頼できない状態になったと仮定しよう。こうなったら、バックアップから環境を復旧することを考えるべき時かも知れない。しかし、バックアップから復旧しようとした企業を襲った、恐ろしい話は多い。
- バックアップファイルも壊れていた。
- バックアップテープがダメだった
- テープは毎晩交換されていたが、実際にはファイルはまったくバックアップされていなかった。
これらはどれも最悪の話であり、組織をひどい状態に追い込んでしまう可能性がある。
対処法:バックアップを定期的にテストすることを定めた方針と手続きを実施する。それに加え、ディスクから別のディスクベースのシステムへ、そこからテープまたは違う場所へ、そして攻撃があった場合でも影響を受けないネットワークに接続されていないサービスへと、多層的なバックアップを行うことも検討するべきだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
