● 古典OSセキュリティ:「サーバには触るな」と周知させて社長様や幹部の方の席の近くにファイルサーバを置く
(従業員さんが20名以下零細以下の規模の組織だけのTipsです)
サーバに誰かが変な無料ソフトを入れるかもしれない。そこからウィルス感染するかも・・・
誰かがサーバのインターネットで海外サイトや2ちゃんねるなどを見まくるかもしれない。そこからウィルス感染するかも・・・
PDFやFlushのアップデートをしてないからそこからウィルス感染するかも・・・
ウィルス感染については色々と心配はあろうかと思いますが、でも零細企業の場合、「ファイルサーバには絶対に触ってはいけません。触ったら減給その他ペナルティを課します。」と従業員の皆さんに周知しておけば、まず触る人はいません。
また、サーバを置く位置を、鍵をかけた部屋、もしくは、一日中居る方の席の近くにするとか、そういう感じにしても、よいと思います。
いずれにしましても、勝手にファイルサーバに触ってはいけないというルールにしておけば、従業員さん全員で監視し合えるので、社内の人間を介して「ファイルサーバに変なソフトが入ってくる」という事態は避けられると思います。
また、次のようなことも守っていれば、もしアンチウィルスソフトが入っていなくても、WindowsUpdateのサポートが切れてしまっても、ファイルサーバに、インターネット経由からも変なソフトが入ってくることは基本的には無いと思います。
・ブロードバンドルーターを2段構え以上にして、より深いほうのネットワークにクライアントとサーバを配置
・管理共有機能をOFFにする
・インターネット閲覧ソフトとメールソフトを起動禁止にする
・その他ネットワーク系のアプリケーションを起動禁止にする
・どうしても必要なもの以外のパケットキャプチャ的なソフトの削除
・その他の使わないソフトの削除
・フリーウェアの追加は原則禁止
(Virus Total やその他のウィルスチェック無しに無料ソフトを使わない)
・原則 .NET Framework の削除
・USB、CD・DVDの使用禁止
・ファイアウォールソフトのHIP的な機能を起動
(Windows2000の場合Sygate Firewallとか)
・Adobe Acrobatの削除
・Adobe Flushの削除
・JAVAの削除
・ひと月かふた月に一度の頻度で定期的に、起動ドライブをクリーンなものと入れ替える
・外付けバックアップ用ドライブも別マシンでウィルスチェックする
・ファイルサーバのネットワーク内に、DMZを絶対に作らない。
そもそも外部公開用のWebサーバの設置などは素人の手には負えないので絶対に禁止する。
・フリーウェアを試すマシンは、ルータをいくつか多段化して、必ず別のネットワークにする。
※以上すべて、「管理者自身の不注意ミスを防ぐため」、の意味もあります。
以上をしっかりと守れば、ファイルサーバが原因のウィルス感染はほぼ無いと思います。
(もちろん絶対とは言い切れませんが・・・)
感染するのは、こういった基本を破る人が絶対に出るからです。
特にむしろ管理者自身が・・・
「つい」とか「うっかり」とか「慌てて」とかでやってしまうことがあります。
身につまされます・・・
まずはそれが起こらないように、管理者自身が謙虚に「自分はミスをする」という意識をもって、自分を律することだと思います。
基本的には、もしファイルサーバにアンチウィルスソフトが無くても、例えばこれらのような対策をして、管理者以外が触らないようにしておけば、あとは、従業員のクライアント操作ミスや不注意、あるいは従業員からの恨み等々などによる「人間」が犯人の情報漏洩しか、ほぼ、起こりえないと思います。
もちろんいつ自分がミスするかわからないので油断は禁物です。
常にファイルサーバを気にして、(でも兼任社内SEなので)もし毎日が無理なら数日に1回はファイルサーバに異変が無いかをチェックしなければなりません。
でもそれ以外にも、従業員クライアント教育や、恨みを買わないように従業員を大切にする、といったことのほうが大切かと思います。過去にあった大きな情報漏洩事件は、内部犯行も決して少なくなかったので、もしある程度のサーバ対策がしてあるならそちらのほうが怖いです・・・
もし、「お金目当ての不正」を働くような従業員が居たとしても顧客データを売ってしまうようなことは自身の逮捕につながるほどのハイリスクですのでまずやらないでしょうから、それを「それでも」「やってしまう」ということは、相当な恨みか、相当な何か、あるいは相当な無分別・軽率、でしょうから、そのうちのひとつである「恨み」を買わないことのほうが大切な気がします。
ランサムウェアのようなものは、メーラーやブラウザからの感染がメインですから、ファイルサーバ上で メーラー、ブラウザ、USBやCDを使用禁止にすれば、ファイルサーバ自身の感染・ファイルサーバを起点とした感染はまず無いと思います。
あとは、どう情報漏洩を防ぐかに注力することになると思います。
クライアントマシン側のほうが、サーバマシンよりも圧倒的に「人間がパソコンに触る頻度」が「高い」ので、ミスが起こりやすく、漏洩のきっかけになりやすいと思います。
- 投稿タグ
- 古典OSセキュリティ