こんにちは。キューブ・エス中村です。

今回は投資をせず、又は最小限に抑えても十分なセキュリティ対策をする為に

どの様な環境を作れば良いのかについて解説致します。

 

まず、セキュリティ対策と言っても様々な脅威があります。

これらを大別した際に簡単に考えられるのは

１．社外秘情報（社員個人情報・顧客情報を含む）の漏洩

２．社外秘情報の無効化/消去

３．ＰＣ等ＩＴ資産の破損、使用妨害

４．ネットワークへの侵入、通信妨害・破壊

等があります。

 

今回は１の社外秘情報の漏洩対策について

タダ、もしくは費用をかけずに出来る対策を紹介いたします。

 

■メールソフトについて、ウイルス対策がされているWEBメールを使用する

全ての脅威に共通してリスクだと言えるのはネットワーク内へのウイルスの混入です。

ウイルスの混入経路は様々ではありますが、ある調査によると

経路不明の場合を除いた報告されたケースの約90%がメール経由

その他ネットワーク経由が残り9%程度、

そして残りは外部記録媒体（USBメモリ等）が1%程度らしいです。

 

と言う事は、まずはメール、そしてWEB、最後にUSBを制限する事で

対策が出来る可能性があるという事です。

 

メールに関しては添付されたファイルの実行が出来ない様にしてしまうだけで

幾分かは安全に使用する事が可能です。

ただ、クライアント依存をするPOP3やIMAPによるメールのダウンロードには限界もあります。

ここでご紹介したいのがWEBメールの使用です。

様々なWEBメール業者では実行ファイルの添付を禁止したり、定期的なメールの検索により

怪しいファイルが添付されている場合は警告メッセージのみ受信者に送り、

メールを受信できない様にされている物が多々あります。

メールサーバに受信した時点でウイルスの混入を検索してくれますので、

問題があるメールの多くをこの時点でカットする事が出来れば、

先に挙げました90%のリスクをかなり低減させる事が可能です。

 

■SmartScreenやSafeBrowsingを使用する

WEBからのダウンロードですが、Edgeを使用する場合はSmartScreenを有効化して

FireFoxやGoogleChrome等を使用する場合はそのままで（SafeBrowsing)

危険性の高いページ接続時に警告をしてくれる機能を使う事で

より安全性を高める事が可能です。

 

■USBストレージの接続を禁止する

USBメモリ等については意見の分かれるところではあるのですが

ネットワークを経由しない分、ファイルにアクセスできる状態である事そのものが

危険を誘発する状態となります。

また、この対策を行なう事で悪意を持ってデータを盗み出す社員への対策にもなります為、

個人的にはUSBストレージの使用そのものを設定で禁止する方法を強くお勧め致します。

 

USBストレージへのアクセス禁止はレジストリ変更で可能です。

細かい手順は今回は記載を省きますが、レジストリで禁止をすれば

USB機器は使用が出来る一方、USBメモリやハードディスクは使用が出来ないので

ユーザビリティを落とすこと無く対策が出来るので一石二鳥です。

 

---

尚、ウイルスへの根本対策としてはフリーの物でも良いので、根本的対策として

ウイルス対策ソフトを導入する事は必須と考えて下さい。

速度低下が気になる場合でも、せめてWindows標準で使用できるDefenderが

ちゃんと有効になっている事を確認して下さい。

 

ここでポイントは、まれに見る状況ですが、ライセンス切れのウイルス対策ソフトを

そのまま使用する事は絶対にない様にすることです。

 

ライセンスの切れたウイルス対策ソフトは新しいパターンもダウンロードされず、

Defenderが標準装備されているWindows Vista以降のコンピュータに関しては

むしろ有害であると言えると思います。

Defenderには搭載されていない様々な機能がある事が多い為、

別途購入が必要なウイルス対策ソフトの購入が無駄だとは言いませんが

もしライセンス期限が切れて購入を促される様な状態になっている場合は

是非ともアンインストールをする様心がけてください。

皆様こんにちは。キューブ・エス中村です。

今回は無線LANについて、安全に使用する為の注意点をいくつか挙げさせていただきます。

 

■SSIDは秘匿する（ブロードキャストしない）

SSIDが秘匿できる製品の場合はブロードキャストしない事により

無用な攻撃を避ける事が可能です。

接続時には若干面倒ではありますが、SSIDを個別に設定して

ログインする必要がある為、悪意を持った外部のユーザからは

これだけでかなり強固な設定となります。

 

■MACアドレス制限をかける

社内のリソースにアクセスできるSSIDへの接続には

MACアドレス制限をつける事により指定した機器のみしか業務LANに

無線LAN経由で接続できなくすることが可能です。

※但し新規導入機器がある度にMACアドレスの棚卸が必要です。

 

■近隣に2台以上のAPを置かない

案外良くあるケースとして、2.4Ghzの無線LAN電波が競合するケースがあります。

昨今のAPでは自動チャンネル制御を備えており、自動的に競合しない

電波周波数に自動設定し直すものもありますが、

経験則、あくまで補助機能であり、完全ではありません。

電波競合を起こすと接続は弱くなり、まともに使えなくなります為、

出来る限りAP同士は離した上で、願わくばPC側も5Ghzの無線LANを

使用する用に心がけてください。

 

■暗号化方式にはWPA2パーソナル(AES)を使用する

現在の事情ではWPA2パーソナル（AES）が最も強い暗号化方式となります。

それでもWPA2について先日脆弱性が判明しましたが、

それでも限定的である事は誤認識頂き、

特定の場合を除き安心して頂いて良いかと思います。

WPA、WEP、TKIPは既に脆弱性が見つかっております。

のっぴきならない事情が無い限り選択は避けて下さい。

 

■中継器モードを備えた機器は「KRACKs」対応状況を確認して使用する

2017年11月、現段階で最強の暗号化特性を持ち安全と言われてきた

WPA2の脆弱性が発見され、「KRACKs」と名付けられました。

この脆弱性を受ける機器は

・ファームウェアが「KRACKs」に対応していない

・中継機能が使用されている

環境で起こり得るという事が判っています。

この為、もし中継器モードを備えた機器を使用する場合は

ファームウェアのアップグレード等も見据えた上で、

対応状況を確認しながら使用して下さい。

 

■可能であればIEEE802.1x認証を使用する

SSIDとPSKだけで認証をする場合、そのセットを持ち出しすれば

離職者も近くに来て使用する事が出来るようになってしまいます。

これを防ぐためには離職者が出る度にPSKを変更して

各接続PCの設定を変更するか、認証サーバを導入して

IEEE802.1x認証で認証をさせるかのいずれかが有効です。

特にIEEE802.1x認証を使用する場合は各ユーザにIDとパスワードが

割り当てした上で、接続時に使用するのはこの各ユーザのIDパスワードである為

離職者についてはIDを削除、または無効化してしまえばそれで

無線LANに接続が出来なくなるわけです。

 

無線LANも使い方次第では安全に、非常に便利に使用が可能です。

弊社にご連絡頂ければ、安全かつ非常に便利な使用についてご提案できます。

ご検討の企業様はお気軽にご連絡下さいませ。

皆様、こんにちは。キューブ・エス中村です。

第四回は実は案外悩みの多い企業でご使用のWi-Fiについてです。

 

さて、皆様は企業でのWi-Fiについていかがお考えでしょうか。

現代でも実は良くある意見として、

「有線みたいに接続点が無いので、傍受されると侵入されるのでは。。。」

と言う意見をお聞きします。

 

勿論、金融業や研究機関、企業秘密を多大に扱う部署等、

万が一の万が一にでも漏洩した場合に大惨事になり得る様な企業・団体様に

無理やりそれでも「使用した方が良いですよ」なんてオススメは致しませんが

昨今のWi-Fi事情は滅多な事ではクラックできなくなってきています。

今回はなぜ企業で無線LANを使用する事を弊社ではオススメするのかを

事例をあげてご説明させて頂きます。

 

■レイアウトフリーに業務が出来る

どんな企業様でも会議をする為に席移動したり、何かの理由で

一旦自席以外でパソコンを使いたいシーンがあるかと思います。

勿論移動先に有線LANケーブルがあれば接続して使用可能ではありますが

無線LANであればどこでも同じ環境で業務が出来るメリットがあります。

 

■SSID別でネットワークを分配できる

有線LANでネットワーク分配をする場合はネットワーク毎にケーブルを

別々に引っ張ってきたり、手元のスイッチで分配できる様にタグ付きVLANで

分配をしたりと、かなり複雑な設定が必要になるケースが多々あります。

無線LANであればSSID毎にIPアドレスセグメントを分配する事が出来る為

どこに居ててもSSIDの届く範囲で任意のネットワークに接続する事が可能です。

 

■ゲストLANが設定可能

例えば御社に他の企業の方が訪問された際、

有線LANではゲスト専用ネットワークを作り接続したケーブルを用意し、

しかもハブ等の機器とケーブルを準備して初めて多数の方を

ゲストLANで繋ぎ、収容する事が可能です。

一方、ゲスト用SSIDを設定する事により無線電波が届く範囲で

複数台、安全なネットワークに接続する事が可能です。

 

■AP１台当たりの接続可能台数が多い

仮に無線LANは導入する事を前提としても、家庭用無線LANルータ/APが安価な為

これで良いじゃないかと言う意見もあるかと思います。

ところが、ここで出てくるのが業務用無線LANのAPに特筆される同時接続台数です。

要は家庭用機器は少ない場合は５台前後、業務用であればこれが20～100台

接続許容されると言うケースもあります。

 

弊社では業務用無線LAN機器のご提案から設定まで、幅広く承っております。

ご用命の際はぜひともお問い合わせくださいませ。