企業の残念なんちゃってセキュリティ

弊社はサイバーセキュリティ、ITサポートの会社でその視点で書いております。また、全てが正しいわけではなく、あくまで過去聞いた意見等となります。

合同会社セクーラ|PC・スマホのセキュリティサポートセンター

今、こんな事を言い始めますが、
昔は弊社でもセキュリティだと思ってた事も多くあります。
恐らく今のセキュリティも今後は意味ないとか、無駄となるとは思いますので、
時代の移り変わり　と言う感覚で書いております。

1 手間だけ増えててリスクしか無いPPAP
芸人ではないです。
パスワード付ｚｉｐですね。
しかも、添付と同じメールにパスワードがあったり、
添付をAに送り、　Aに追いかけでパスワードを送っています。

これ、ランサムウェア被害に会いドメイン情報抜かれてる人でかつ、潜伏期間中なら気付かずに添付ファイルを盗み見られます。

後はスマホユーザーも増えて手間が多いのでzipはあまり推奨できず、せめてonedriveとかかなと。こちらはこちらで閲覧可能ユーザー設定しないと危険です。

後、今は解凍ソフト無しで解凍出来ますが解凍ソフトをインストールしたらそこにアドウェアが入ってたりします。
それが二次被害を生み始めます。

2　電話で機密情報を通話する
電話に関しては盗聴傍受が可能とも言われているので、機密情報は電話はやめたほうが良いです。
ただ、それを意識したらキリがないです。

3　〇〇ってツールセキュリティすごいらしいよ!消えるらしいよ！系
一時期流行った履歴消えるチャット。
あなたと私の画面からは消えるでしょう。
サービス提供しているサーバーから消えているんでしょうか？
結構IT系はバックアップちゃんと取るのでうっかりそこに紛れてたりします。

また、そもそも第三者が提供しているものなので、そこが信用できるかは確認しましょう。
google,apple,microsoftとありますが、
その企業を信用出来ないなら、その企業のサービスはやめてもよいかも知れません
今は問題がなくても数年後に「何年分データが漏洩していた！」みたいなニュースにもなります。
これはもう、対処できずアナログで自衛しか無いかと思います。今のところは。

勿論、アナログなので管理方法次第で盗まれるし、ログは勿論出ないのでもっと大変かもしれません

4　営業が来たからセキュリティ機械つけたよ！
ケース・バイ・ケースです。
弊社はOA機器販売企業の方から設置設定依頼を受ける事も多いですが、
ITコンサルや、SIer、サイバーセキュリティに精通した人は多くないので指示書通りに設定する事が多く、大丈夫かなーと思ってます。

かと言って設置設定の時ヒアリングから構築まで全て行うと機器選定し直し　費用はぐっと高くなる

なんてこともあるので、無いよりはマシかな。
と、いう範囲で考えています。

弊社で行うサイバーセキュリティの構築はお客様とのヒアリングから機器を選定　
その後、検証等をして導入となりますが、
ヒアリング選定検証導入運用支援は全て有償となります。

その為、OA機器販売の方の設置工事で弊社が何かを行うことはございません。
依頼を受けた業務を遂行する契約の為。

5　謎のチャットツール
teamsなら良いでしょう。理由は大手も使ってて結構出番が多いので。

ただ、他に出てくる各社チャットツール
多過ぎて通知管理でキツくなります。teamsはスマホだと通知が上手く来ないとか色々問題はありますが、、、

チャットでも漏洩してはいけない情報が出るので有料かつ、セキュリティ管理できるツールにしましょう。

6　毎回変更を求めるパスワード
パスワードは昔は変更推奨でしたが、最近は
変更しょうがしまいが突破されるので、名残になってます。
2FAや、パスキーも出てますが何となく代わりに出てるだけのような物も多いです。

7　謎の各社サイト
請求やら何やらでこのサイトにファイル入れました系は多いです。

本当に業務増えるだけだから辞めてくれ、、、
引継ぎ件数取引先会社分増えるんだが
と、いうくらい乱立してます。

8　〇〇神話説
良くある。機器とかソフトですね。
mac,iphone,microsoft365
これはウィルスにかからない！
と神話説が多いですが、
全部昔から突破されてます。
mac? windowsみたいなウィルスはあまりないけど、何をしてるかずーと見たりデータを抜く潜伏系はOS9の頃からあります。
※芸人のラーメンズさんが好きであの頃のCMは好き出来た。
僕MAC　僕パソコン　みたいなやり取りの頃

iphone　ハッキング可能でハッキングデモするとiphone触りたくなくなります。

microsoft365
例えば、365を完璧だと仮定しましょう。
会社のデスクにA4の紙があり、ID,PW,2FAバックアップコードがあったとします。

それでもう、ログインされますね？
つまり、windowsPCなどログインする端末に情報が残ってたり、キーロガー食らってると簡単に突破されます。

潜伏型の攻撃が多い今、
365でなんであれ、
ネットワークセキュリティ
エンドポイントセキュリティ　
こちらは最低限必要となります。

9　逆説の極論信者
iphone神話説がないならandroid！ガラケー！
365危ないなら知らないどっかの会社！

と、なる人は多いですが、
どっかの会社が小さ過ぎればトラブルが、表に出る件数が少なすぎて分からないだけかも知れません。

なので、リスクを知った上で対策をし、
万が一の時の流れを考えておく。

そこまでがサイバーセキュリティで必要だと思っています。