「うちのセキュリティは大丈夫か」と聞かれて、根拠を持って「大丈夫」と答えられる中小企業は多くありません。 専任のIT担当者がいなくても、以下の7項目は自社で確認できます。まずここから始めてください。
1. 退職者のアカウントが残っていないか
最も多く、最も危険な放置事項です。退職した社員のメールアドレス、グループウェア、 クラウドサービスのアカウントが有効なままになっていないか確認してください。
- 直近1年の退職者リストと、各サービスの利用者一覧を突き合わせる
- 「共有アカウント」のパスワードを退職者が知っている場合は変更する
2. パスワードの使い回しがないか
会社の代表メールアドレスと同じパスワードを複数のサービスで使い回していると、 どこか1つの漏えいがすべてに波及します。
- 重要なサービス(銀行、会計、メール管理画面)から順にパスワードを個別化する
- 可能なサービスでは二要素認証を有効にする
3. バックアップは「復元できる」状態か
バックアップを取っていても、復元手順を一度も試したことがなければ、それは バックアップがないのと同じです。
- 業務データの保存場所を一覧化する(PCローカルに散らばっていないか)
- 最低1回、実際にファイルを復元してみる
4. OS・ソフトウェアの更新が止まっていないか
サポートの切れたOSやソフトウェアは、既知の脆弱性が放置された状態です。
- 社内のPCのOSバージョンを一覧化する
- 「更新するとソフトが動かなくなるから」と更新を止めているPCがないか確認する
5. 誰がどこまでアクセスできるか把握しているか
全員がすべてのデータにアクセスできる状態は、事故のときの被害範囲を最大化します。
- 給与・人事・顧客情報など、機密度の高いデータのアクセス範囲を確認する
- 「とりあえず管理者権限」で配られたアカウントがないか確認する
6. 不審メールへの対応が決まっているか
添付ファイルを開いてしまった後の連絡先が決まっていないと、報告が遅れて被害が広がります。
- 「開いてしまったらまず誰に連絡するか」を1枚で決めて周知する
- 請求書・宅配便を装ったメールの実例を社内で共有する
7. 無線LANのパスワードが初期設定のままでないか
オフィスの無線LANルーターが購入時の設定のままなら、変更してください。 来客用と業務用のネットワークが分かれているかも確認ポイントです。
まとめ
ここまでの7項目は、専門知識がなくても社内で確認できます。 一方で「確認した結果をどう判断するか」——このPCは買い替えるべきか、 この契約は解約してよいか、この設定で十分か——は、御社の環境次第です。