【寄稿】ミカド 1990年代から始まったセキュリティの旅。スタッフの ITスキルに頼らない「回復力」の舞台裏。
株式会社ミカドから寄せられた、セキュリティ対策に関する記事を紹介する。
「サイバーセキュリティの対策を強化してください」 そう言われても、何から手を付ければいいか頭を抱えてしまいますよね。特に中小企業だと、「社員全員にITリテラシーを高めてもらうなんて、現実的に無理!」と感じる経営者や社内のシステム担当を任された方も多いのではないでしょうか?
実は、私たちミカドもまったく同じ悩みを抱えていました。 弊社が目指したのは「PCに明るくないスタッフが居ても、仕組みで自動的に守る環境づくり」だったんです。
今回は、インターネット黎明期に味わったリアルな恐怖から、最新戦略である「レジリエンス(回復力)」にたどり着くまでの歴史をまるごと明かします。
これを読んで「これなら自社でも取り組めるかも!」という気づきになりますように!
ネットを繋いだ瞬間に始まった、24時間365日の「絨毯爆撃」
時は1990年代後半。まだ「クラウド」という言葉すらどこにもなかった時代です。「プロバイダーに頼らず、自社ドメインで自由にメールアカウントを使いたい!」というワクワクした気持ちから、社内に自前でメールサーバーを立ち上げました。今で言うオンプレメールサーバーですね。当時の相棒は、ベージュ色の筐体にレインボーカラーのAppleロゴが輝く「PowerMac8500」に「Eudora Internet Mail Server(EIMS)」を載せてメールサーバーを立ち上げたのが始まりです。
ところが、サーバーを立ち上げてインターネットに繋いでまもなく、とんでもない現実が押し寄せてきました。
「アラートが止まらない…!?」
メールサーバーのログ画面を埋め尽くしたのは、世界中から怒涛のように届く迷惑メールと不正アクセスの試行でした。夜中だろうが、休日だろうが、絶え間なく攻撃が飛んでくるのです。これが、初めて直面したサイバー空間の「絨毯爆撃」でした。
この時に骨身に染みたのが、「インターネットに繋がっている=世界中から常に狙われ続けている」という強烈な危機感です。この原体験こそが、今のミカドのセキュリティ意識の根っこになっています。
その後、ハードウェアの老朽化やオンプレ故の電気代増加、OSやソフトのアップデートといった管理負担の限界や、2011年3月の東日本大震災を経験し、BCP対策の必要性を感じ、一部ファイルサーバーはオンプレで残したあと、メールやデータ管理は2012年4月からGoogleWorkspace(以下「GWS」)「クラウド」へとシフトしていきました。
自前でサーバーを管理する負担からは解放されましたが、今度は敵のレベルがまったく違う次元に進化してしまったのです。
昔のウイルスは「いたずら目的」が主流でした。でも今は、プロの犯罪組織が身代金を巻き上げるための「巨大なビジネス」として組織化されています。そう、現代の経営を揺るがす最大の脅威「ランサムウェア」の登場です。
「PCに明るくないスタッフ」が居ても堅牢な仕組みで守る多層防御の全容
「怪しいメールのリンクは開かないで!」「怪しいサイトは見ないで!」「対策ソフトの定義ファイルは更新してね!」とスタッフに口酸っぱく言っても、人間ですから「うっかり」や「つい!」は絶対にあります。だからスタッフの注意深さに頼るのではなく、お城の防衛と同じように何重もの罠と壁を張り巡らせる「多層防御」を構築しました。
万が一どこか一箇所を突破されても、次の砦でピタッと止める。そんなミカド自慢の防衛ラインをご紹介します。
お城の外堀と正門:UTM(統合脅威管理)
一般的なルーターにはファイアーウォールの機能はありますが、それだけに頼らず、専用のUTM(統合脅威管理)を設置して高度な「荷物検査」を行っています。インターネットからの不正アクセスを遮断するのはもちろん、社内から外への不審な通信も24時間監視。さらに、許可されていないPCなどが勝手に社内ネットワークに繋がらないよう、自動で検知・遮断する仕組みにしてあります。
*NTT東日本でも取り扱われているので怪しい製品ではありません。
MacもWindowsも混在環境をポータルで一元管理
社内の全端末に次世代型のセキュリティソフトを導入しています。これは、常にクラウドと通信して世界中の最新の脅威をリアルタイムで検知してくれる優れものです。MacもWindowsもすべて同一プラットフォームで統合管理していて、OSやソフトが最新になっていない端末があれば、システム側からアップデートを強制できるようにしています。
モバイル端末の遠隔操作(MDM)
社用で支給しているiPhoneやiPad、テレワーク端末で利用しているChromeboxは、すべてGWSやAppleBusiness、LANSCOPEといったMDM(モバイルデバイス管理)というシステムで一元管理しています。もしスタッフが外で端末をなくしてしまっても、システム側から遠隔で画面をロックしたり、端末内のデータを一瞬で消去(リモートワイプ)できるので、紛失リスクにも慌てません。iOSのアプリも一元管理でApple ID無しでサイレント配信まで管理しています。
パスワードだけに頼らない「認証の強化」
今、ハッカーが最も狙っているのは「IDとパスワード」の隙間です。そのため、重要システム(特にGWSのアカウント情報)には二要素認証を義務付けています。これにより、万が一パスワードが漏洩しても不正ログインをガッチリ防げます。また、パスワードの使い回しを防ぐために、SAML認証を含むシングルサインオン(SSO)を積極的に導入して利便性と安全性を両立させています。
人的ミスを自動で防ぐプログラム
「Googleドライブで外部とファイルを共有したけど、用事が終わったあとも共有しっぱなしにしていた…」なんていううっかりミス、よくありますよね。 これを防ぐため、私たちは共有リンクを一定期間が過ぎたら自動で解除するプログラム(GAS)を独自開発して運用しています。人手を介さず、システムが定期的に意図しない漏えいリスクを消し去ってくれるんです。
Googleドライブのセキュリティリスクを回避
Googleドライブの「共有しっぱなし」防げていますか?共有設定を可視化して情報漏洩のリスクを減らす、ミカドでも活用中の便利なセキュリティ管理ツールをご紹介。
物理的なLANポートロックや電子錠や監視カメラ
デジタルな対策だけではありません。社内の空いているLANポートには物理的なロックを施し、部外者が無断でパソコンを接続できないようにしています。ドアセンサーやネットワークカメラやスマートスピーカー(Alexa)といったIoT機器や、来客用のゲストWi-Fiは社内の重要システムとは完全に隔離。さらに、重要なデータや機材がある部屋には電子錠を設置し、物理的な空間への立ち入りも厳格に管理しています。
また、出入口や各フロアには、防犯目的でネットワークカメラを設置しNASで常時録画しております。防犯用途だけでなく営業スタッフの在席状況などもブラウザのビュアーを使うと目視で確認できるので「今◯◯さんは居るかな?」と気軽に業務連絡できるようになってます。
見えるセキュリティ対策
空いているLANポート、そのままにしていませんか?私物PCなどの無断接続を防ぐ物理セキュリティ「LANポートロック」をご紹介。差し込むだけで手軽に社内ネットワークの安全を守れます!
*今回、環境の詳細を語る事は弊社のセキュリティリスクになり得ますが、敢えて弊社の事例をご紹介することで皆様のサイバーセキュリティ対策のヒントになれば…という思いでお伝えしております。
公開サイトの対策も怠りません
サイバー攻撃者の視点から自社および取引先(サプライチェーン)のセキュリティ対策状況をインターネット上の公開情報から自動評価し、点数化(レーティング)するクラウドサービス「セキュリティスコアカード(SecurityScorecard)」でも自社ドメインの分析を行ってます。株式会社ミカドのセキュリティレポート(いずれも評価「A」)はボタンから参照できます。

また、簡易的なチェックが可能な「securityheaders(評価「A」)」や「HTTP Observatory(評価「B」)」のレポートも下記リンクより確認していただくことができます。
更になりすましメール対策も怠りません。ドメインメールのチェックが可能な「easydmarc(評価「A」)」のレポートも下記リンクより確認していただくことができます。なお、弊社では2022年末より powerDMARC社のサービスを利用し2023年夏から「reject(拒否)」の運用を行い、弊社ドメインメールを騙る迷惑メールが善意の第三者に届かないよう制御する運用を行っています。
(拒否)」の運用を行い、弊社ドメインメールを騙る迷惑メールが善意の第三者に届かないよう制御する運用を行っています。
この記事をシェアする


