第78話 中小企業セキュリティで見逃しちゃいけない５つのポイント

中小企業脆弱性診断の５つの勘所（ホームページからわかること）

中小企業の方からゼロトラストFTA診断の依頼を受けた時は、ヒアリングの前にホームページを拝見させて頂く。
企業のホームページは、脆弱ポイントの可能性についていろいろ教えてくれる。

ポイント１　アタリマエ対策

中小企業に限らず全ての企業や組織において、グローバルIP機器とパソコンのアタリマエ対策は必須である。

アタリマエ対策
・グローバルIP機器セキュリティパッチ適用
・グローバルIP機器不要ポート閉
・PCセキュリティパッチ適用

ポイント２　国内拠点・海外拠点・グループ会社の有無

まずホームページを拝見して、国内拠点や海外拠点およびグループ会社の有無を確認する。
そしてヒアリング時に、これらの拠点とのネット接続の構成を伺う。たとえば拠点間VPNだと、相手側のセキュリティの脆弱性がそのままこちらのネットワークに影響を与えるからだ。
特に海外拠点やグループ会社のように、こちらのシステム管理部門の管轄外になることがあれば、その相手先のセキュリティポリシー（特にアタリマエ対策）の運用は重要なセキュリティ項目となる。

ポイント３　大企業取引先の有無

中小企業のホームページでは取引先企業が掲載されていることが多い。私はまず、その取引先の中に標的型攻撃の対象となりえる大企業が含まれているかを確認する。

なぜなら最近の標的型攻撃は、防御の硬い大企業を直接狙うのではなく、比較的セキュリティの弱い取引先の中小企業を踏み台に攻撃するケースが増えているからだ。

メールサーバは特に狙われやすいポイントの一つだ。メールアドレスがわかればパスワードはハッキング攻撃で突破される可能性が高いこと。
そして取引先のメールサーバを踏み台にして、より巧妙ななりすましメールを大企業に送信できることなどが理由である。

対策としては「メールアカウントとパスワードだけでどこからでも送受信できる」というメールサーバの設定に対して、多要素認証やネットワークの接続制限などが効果的である。

ポイント４　一般個人情報保存の有無

また私はホームページから、その企業が、一般ユーザが個人情報を登録するようなサービスがあるかも確認する。これはセミナー予約なども含まれる。

一般ユーザの個人情報の扱いがある場合は
・システムの脆弱性対応
・管理端末の接続制限
などをヒアリングさせて頂く。

特に管理端末であるパソコンの設定で、管理者が個人情報をUSBメモリやインターネット経由で持ち出しが可能かを重点にヒアリングを行う、。

ポイント５　病院ネットワーク確認項目

最近は病院の診断も多い。病院のホームページを拝見し次の内容を確認させて頂く。

① ナンチャッテ閉域網の有無

閉域網の完全性がどのように運用されているか。リモートメンテ用のVPNルータや、取引先とのVPN接続などについて。

②  持ち込みPCや持ち出しPCの有無

ドクターが学会に参加されているようなケースは、論文執筆や学会発表のPC端末は、院内閉域網と接続が可能かどうかなど。および非許可端末の閉域網接続の制限仕様について。

③ 検診予約システムの有無

個人情報保護の観点からのシステム脆弱性対策の運用および管理者による個人情報持ち出し制限の仕様について。

④ 訪問介護サービスの有無

訪問先の個人情報の漏洩対策について。特に個人情報印刷物やUSBメモリやインターネット経由での持ち出し制限について

まとめ

中小企業は大企業の様にセキュリティに潤沢な予算を割くことは困難だ。しかしゼロトラストFTAの解析を元に、よりリスクの高い脆弱性から優先順位を決めて、費用対効果の高い対策は、中小企業を守る観点から非常に重要である。

是非お気軽にゼロトラストFTA脆弱性診断を問い合わせて欲しい。