2018 年度 第 5 回 IBC ユーザー会(大阪)報告
2018 年 8 月下旬に、トラスコ中山株式会社様の会議室をお借りして、第 5 回 IBC ユーザー会(大阪)が開催されましたので、その内容についてご報告します。
今回は、5 社 6 名の会員様にご出席いただき、外部脅威および内部脅威に対するセキュリティ対策について、ディスカッションしていただきました。
【外部脅威について】
- いろいろな対策を打ってはいるが、基本的に社員のモラルに任せている。
- ルールを作り込みすぎると規制が多くなるため、利便性が損なわれてしまう。
- 全 PC のウイルススキャンを昼頃に実施すると 18 時ごろまでかかることもある。
- グループ共通のネットワークの出入口で多段階の対策を実施している。
- PC 全台にアンチウイルスを入れており、起動してすぐにスキャンがおこなわれる。
- マネージドセキュリティサービスを契約しているが、誤検知がありチューニングが必要。
- サンドボックスを導入しているが、感染の疑いがあると LAN を抜く。
- VDI やシンクライアントでは USB 使用不可、USB 利用端末を別途設置している。
- 標的型攻撃メール訓練を実施している(年 1 回、四半期に 1 回、2 か月に 1 回など)。
- 外部業者によると、約 10 % が添付ファイルを開く傾向があるとのこと。
- メールブロックをおこなっても送付元メールアドレスが一度きりの場合が多く、きりがない。
- セキュリティだけを目的に VDI 化し、コストを抑えるためにスペックをあまりに低くして、業務環境が悪くなるのはいかがなものか。
- セキュリティ、利便性、コストのバランスが難しい。
【内部脅威について】
- 紙媒体での流出に対するセキュリティ対策がネック。
- 脆弱性診断ツールを使用してチェックしている。
- マイクロソフト社関連は WSUS(Windows Server Update Services)でアップデート。
- Adobe などの個別システムのアップデートは個人で実施。
- Adobe や Java などは、起動時にバージョンをチェックし、自動アップデートするツールを導入している。
- Windows 10 のバージョンアップに苦慮している。
- マイクロソフト社のサポート期間の問題もあり、どのバージョンを社内標準とするかで毎回苦労している。
- 2 世代前のバージョンを社内標準として適用し、マイクロソフト社のサポートが切れる前に次のバージョンにアップデートするという運用を実施。
- Linux サーバーはプログラム改修やミドルウェアの対応バージョンの問題も多く、改修コスト面も含めて運用に苦慮している。
- 全システムの OS バージョンを DB 化して一覧で確認できるようにしているが、アップデート対象を特定しても、適用後の影響確認と判断は難しい。
- L3 、L2 レベルまでは構成管理をしているが、ファームのアップデートをすることで新たな不具合発生も考えられるため、適用の可否判断が難しい。
- 端末から持ち出し可能なメディアへの書き出しを抑制している。
外部脅威および内部脅威に関わらず、セキュリティ対策全般に対する悩みとして、コストや利便性との兼ね合いがある中、セキュリティインシデントが何も発生していない状態でのセキュリティ強化の判断はどうしているかが話題に挙がりました。企業としての経営判断になるとのご回答があった一方で、ISMS の定義に照らし合わせて、項目ごとにインシデント発生時の損失額を算出したうえで、どこまで実施するかを判断しているという非常に具体的な基準を持ち合わせている会員様もいらっしゃいました。ただし、セキュリティを強化することで働きやすさが損なわれて、人材の流出につながる恐れもあるといったご指摘もありました。
次回の開催テーマは、「働き方改革について」となりました。具体的には、以下のような内容についてディスカッションをおこないます。
- リモートとオフィスワークをどうするか?
- 働き方改革に向けた IT 利用はどうなっているのか?
- 働き方改革をおこなって良かったことは?
なお、今回のテーマに関する事前アンケートの集計結果は以下の通りです。
【外部脅威に対するセキュリティ対策】
第 1 位:アンチウイルス
第 1 位:URL フィルタリング
第 3 位:サンドボックス
第 3 位:UTM(Unified Threat Management 、統合脅威管理)
第 3 位:IPS(Intrusion Prevention System 、侵入防止システム)
第 6 位:次世代ファイアウォール
第 7 位:EDR(Endpoint Detection and Response 、エンドポイントでの検出と対応)
【外部脅威に対する課題】
- 導入しているシステムが古い。
- セキュリティのスペシャリストがいない。
- 監視や分析に時間を割けない。
- グループ会社や出向社員への対応およびサポート。
- 万一のデータ流出後の被害拡散。
- 情報システム部門では人手が足りず、他部門に対して協力を要請している。
- 防御に対しての対策が明確におこなえていない。
【内部脅威に対するセキュリティ対策】
第 1 位:ログ管理
第 2 位:脆弱性診断
第 2 位:脆弱性管理
第 4 位:フォレンジック
【内部脅威に対する課題】
- 性善説にたつ社風のため、厳格なルール順守がおこなえない。
- 紙の流出。
- セキュリティと投資、セキュリティと利便性低下のトレードオフ。
- 知識があるメンバーが不足している。
- 脆弱性診断に時間がかかる。
- ログ管理が煩雑で、取得後の活用がおこなえていない。
このほかにも、アイスブレイクとして夏バテ解消法に関する意見交換をおこないました。意外に多くの会員様が自宅で冷房をフル活用されていました。他には、水分や食事を十分摂取する、極力外出しないなどのご意見もありました。
引き続き、別会場にて開催された懇親会で、会員様同士で親睦を深めていただきました。
本ユーザー会にご興味がございましたら、担当営業までご連絡ください。多くの会員様のご参加をお待ちしています。
【ご出席いただいた会員様(順不同、敬称略)】
- 株式会社エクセディ
- トラスコ中山株式会社
- 三菱日立パワーシステムズ株式会社
- ヤマトシステム開発株式会社
- 株式会社イルグルム