長期休暇時のセキュリティ対策

長期休暇時はウイルス感染や不正アクセス等の被害が発生した場合に対処が遅れてしまったり、関係者に対して被害が及ぶ可能性があります。
このような事態とならないためにも、以下の対策をおすすめいたします。

～ 長期休暇前の対策 ～
・機器やデータの持ち出しルールを確認し遵守する
長期休暇に社外での対応が必要となるなどパソコン等の機器やデータ等の情報を持ち出す場合は、持ち出しルールを事前に確認、遵守しましょう

・使用しない機器は電源をOFFにする
長期休暇中に使用しない機器は電源をOFFにしましょう

～ 長期休暇中の対策 ～
・持ち出し機器やデータの厳重な管理
自宅等に持ち出したパソコン等の機器やデータは、ウイルス感染や紛失、盗難等によって情報漏洩等の被害が発生しないよう厳重に管理しましょう

～ 長期休暇明けの対策 ～
・修正プログラムの適用
長期休暇中にOSや各種ソフトウェアの修正プログラムが公開されている場合があります。
修正プログラムの有無を確認し、必要な修正プログラムを適用しましょう
※修正プログラムの適用については、システム管理者の指示に従いましょう

・定義ファイルの更新
長期休暇中に電源を切っていたパソコンは、セキュリティソフトの定義ファイルが古い状態のままになっています。
電子メールの送受信やウェブサイトの閲覧等を行う前に定義ファイルを更新し、最新の状態になっていることを確認しましょう

・持ち出し機器のウイルスチェック
長期休暇中に持ち出していたパソコンや、データを保存していたUSBメモリ等の外部記憶媒体にウイルスが感染していないか、組織内で利用する前にセキュリティソフトでウイルススキャンを行いましょう

株式会社サンロフトでは、サイバーセキュリティ対策についてご案内できるソリューションがあります。是非お気軽に、ご相談ください。

　⇒ 株式会社サンロフト：セキュリティ対策サービス


参考元
長期休暇における情報セキュリティ対策

2017年4月のWindows Updateについて

4月も、12日にWindows Updateが公開されています。
44件もの脆弱性の修正が含まれるものです。

* 2017 年 4 月のセキュリティ更新プログラム (月例) - 日本のセキュリティチーム

これらのプログラムで修正される脆弱性は、環境によって異なるものの
脆弱性の最大深刻度を見ると、「緊急」が13件、「重要」が29件、「警告」が2件となっている。
（Security NEXT より引用）

とのことで、早めに適用しておきたいところです。

Windows 10では自動的に適用されているはずです。Windows Vista・7・8.1での適用手順については、下記のマイクロソフト社のサイトを参照してください。

* Windows Update 利用の手順

* Windows 7 および Windows 8.1 のサービス モデル変更についての追加情報 - 日本のセキュリティチーム

★ Windows Vista については、延長サポート終了に伴い今回のWindows Updateが最終となります。OS更新などを検討・実施する必要があります。

この機会にWindows Updateの設定などの再確認をおすすめします。今後もVista以外のWindows Updateの配信は続きますので、確実に適用できるようにしておいてください。

場合によっては、Windowsの標準機能だけで脆弱性に対応していくのは不安に感じられるかもしれません。

対処としては、たとえばカスペルスキーの法人向けセキュリティソフト「Kaspersky Endpoint Security for Business」では、Windows Updateの管理や配信も可能であり、セキュリティ強化という意味で非常に心強いパートナーとなってくれるはずです。

《参考URL》
* Microsoft 製品の脆弱性対策について(2017年4月)：IPA 独立行政法人 情報処理推進機構
* 【セキュリティ ニュース】MS、月例セキュリティ更新で脆弱性44件を修正 - Officeゼロデイ脆弱性も解消：Security NEXT
* 【アップデートの日】Microsoft 2017年4月度更新プログラム | 一般社団法人セキュリティ対策推進協議会（SPREAD）
* サンロフト、セキュリティニュースのお時間です。: 「Windows Vista」「Office 2007」の延長サポート終了について

株式会社サンロフトでは、サイバーセキュリティ対策についてご案内できるソリューションがあります。是非お気軽に、ご相談ください。

　⇒ 株式会社サンロフト：セキュリティ対策サービス

従業員教育してますか？

情報処理推進機構（IPA）が中小企業を対象に実施したセキュリティ対策に関する実態調査で、中小企業の6割が従業員に対してセキュリティに関する教育を実施していないことがわかりました。
自社のセキュリティ対策について十分であるか尋ねたところ、肯定的な回答は39.3％となりました。

規模別には以下の通りです
従業員20人以下の小規模企業で36.1％
100人以下の企業で41.9％
101人以上の企業で52.2％

セキュリティ対策の専門部署または担当者がいる割合は38.4％。
小規模企業は27.8％、100人以下の企業は47.9％、101人以上の企業は72.4％と規模に比例しているようです。

セキュリティ関連の被害を防止するためにセキュリティポリシーの文章化を行っている企業はわずか14％。
従業員20人以下の小規模企業は8.2％、100人以下の企業は17.8％、101人以上の企業は46.6％とこちらも規模が大きいほど割合が大きくなる傾向のようです。

IT投資を実施している企業のうち、セキュリティ対策関連の投資を行っている割合は79.4％。
小規模企業が77％、100人以下の企業が80.4％、101人以上の企業が86％となりました。

セキュリティ対策の投資を行っていない主な理由は以下の通りです
「費用対効果が見えない」20.6％
「どこからはじめたらよいかわからない」20.2％
「コストがかかりすぎる」17.8％

小規模企業では、「どこからはじめたらよいかわからない」との回答が23.7％ともっとも多くありました。

従業員のセキュリティ教育を「実施していない」割合は60.8％で、小規模企業に限定すると70.5％となりました。
実施率がもっとも高いのは
「メールや掲示板による関連情報の周知」24.9％
「社内の研修や勉強会」17.3％

セキュリティ対策は必須といえる社会になっています。
今すぐにでも導入の検討をおすすめいたします。

株式会社サンロフトでは、サイバーセキュリティ対策についてご案内できるソリューションがあります。是非お気軽に、ご相談ください。

　⇒ 株式会社サンロフト：セキュリティ対策サービス

個人情報流出事案、Apache Struts2の脆弱性が原因

サーバのシステムの一種であるWebアプリケーションフレームワーク「Apache Struts2」に深刻な脆弱性が発見されました。メガネチェーン店の通販サーバでは、この脆弱性を突いた攻撃により個人情報が流出したとのことです。

調査を行ったところ、氏名や住所、電話番号、生年月日、性別、メールアドレスなど、74万9745件の個人情報のほか、メールアドレス43万8610件が外部よりアクセスできる状態だったことが判明したという。 

（Security NEXTより引用）

ショップ・企業としての信頼性はもちろん、経営にも打撃を与える問題です。
サーバのシステムの脆弱性は、ユーザ側から調査や確認は困難です。したがって、普段からシステムベンダーとの連絡や情報共有を進め、いざという時に備える構えが必要です。

今回のApache Struts2の脆弱性対策としては、最新版へのアップデートが推奨されています。
システムの更新や問題対応を迅速に進めるためにも、信頼できるシステムと頼れるパートナーを選ぶべきです。

《参考URL》
* 更新：Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046)：IPA 独立行政法人 情報処理推進機構
* 「Apache Struts 2」に深刻な脆弱性、すでにカード情報流出事案も発生 | セキュリティニュース | 日立ソリューションズの情報セキュリティブログ
* 【セキュリティ ニュース】JINS通販サイトで個人情報が流出か - 「Apache Struts 2」脆弱性が再度原因に：Security NEXT

株式会社サンロフトでは、サイバーセキュリティ対策についてご案内できるソリューションがあります。是非お気軽に、ご相談ください。

　⇒ 株式会社サンロフト：セキュリティ対策サービス