あなたは標的にされています。2012年のサイバー攻撃の31%は中小企業を標的としており、この驚くべき数字は、多くの中小企業におけるセキュリティ対策の不備、あるいは全く存在しなかったことに100%起因しています。これは、ハッカーにとって格好の標的と言えるでしょう。
さて、私たちは、企業のコンピュータとネットワークのセキュリティを確保するために、野菜を食べろとばかりに圧力をかけるつもりはありません。セキュリティを、裁量的な費用と捉えてしまいがちなのは理解しています。
しかし、もし既にお持ちのツールにセキュリティ対策機能が搭載されていて、それを活用するだけでセキュリティ対策を大幅に強化できるとしたらどうでしょうか?さらに、商用セキュリティプログラムと同等の効果を持つ無料セキュリティプログラムで、セキュリティ対策の不足を補うことができるとしたらどうでしょうか?
以下にサイバー脅威を防御するいくつかの方法をご紹介します。必要なのは時間だけです。
すでに持っているものを使う
防御力を強化する最も迅速で安価な方法は、すでに利用可能なセキュリティ対策を理解し、それを活用することです。
まずは簡単なことから始めましょう。すべてのユーザーアカウントが強力なパスワードで保護されていること、そして管理者権限を必要とする従業員のみがPCの管理者アカウントを持っていることを確認してください。
次に、Windowsのローカルグループポリシーエディターを見てみましょう。この強力なツールは、ユーザーとコンピューターのグループを細かく制御できるため、Microsoftがこのユーティリティをユーザーが簡単に見つけられない場所に配置したのは理にかなっています。(見つける方法の一つは、groupWindows 7またはWindows 8の検索フィールドに入力することです。「グループポリシーの編集」が、利用可能なオプションの1つとして表示されるはずです。)エディターでは、パスワードとアカウントのロックアウトポリシー、ファイアウォールポリシー、ソフトウェアの制限などを設定できます。ローカルグループポリシーエディターについて2時間ほど学習し、その機能を賢く使いこなしましょう。
最新情報を入手
ゼロデイ攻撃は不吉なニュースの見出しになりますが、現実には既知の脆弱性の方がはるかに大きな脅威です。ほとんどの攻撃者は、新たなセキュリティホールを探し出すスキルも熱意も持ち合わせていません。しかし、ベンダーがパッチをリリースすると、怠惰な攻撃者はそれをリバースエンジニアリングして修正された脆弱性を特定し、その脆弱性を悪用する方法を解明することができます。
適切なパッチを適用せずに放置する時間が長くなればなるほど、リスクは高まります。Windowsだけでなく、自動更新機能を備えた他のアプリケーションでも、自動更新を有効にしておく必要があります。この機能を利用できない場合は、新しい更新プログラムに関する情報を常に把握し、リリースされ次第テストして適用するなど、真剣に取り組む必要があります。
無料のセキュリティツールを補足
手持ちのリソースをすべて使い果たしたら、外部の選択肢を検討しましょう。入手可能な最高のセキュリティツールの中には、無料で利用できるものもあり、大手ブランドのセキュリティスイートが提供する機能と遜色ありません。以下に、始めるにあたって役立つツールをいくつかご紹介します。
Microsoft Security Essentials:Windows 8にはWindows Defenderが含まれていますが、以前のバージョンのOSにはマルウェア対策機能は搭載されていませんでした。Windows XPまたはWindows 7を実行しているコンピューターを保護する必要がある場合は、Microsoft Security Essentialsをダウンロードして、包括的なリアルタイム保護を無料でご利用いただけます。
Cain and Abel:Cain and Abelは、ネットワークパケットスニッフィング、辞書攻撃、その他様々な手法を用いてパスワードを盗聴・解読します。この便利なユーティリティを使えば、脆弱性の発見、ポリシー要件の安全性の判断、そしてパスワードの復元といった主要な機能を実行できます。
AircrackとKismet:ワイヤレスネットワークのセキュリティを実際に確認したいですか?AircrackまたはKismetをお試しください。Aircrackはワイヤレスネットワークのトラフィックをキャプチャし、WEPまたはWPA暗号化の解読を試みます。Kismetはワイヤレスネットワークの検出、スニファー、侵入検知システムです。どちらのツールも無料で、ユーザーから高い評価を得ています。
Nikto:企業にWebサーバーをお持ちなら、Niktoの活用をご検討ください。オープンソースのWebサーバースキャナーであるNiktoは、サーバーを攻撃の標的にする可能性のある脆弱性を特定するのに役立ちます。古いサーバー、特定の脆弱性、既知の設定エラーをスキャンし、サーバーを攻撃から保護します。
最高のセキュリティユーティリティの完全なリストについては、SecTools.orgをご覧ください。ユーザーコミュニティによる評価に基づく上位125のツールが定期的に更新されています。このリストにはオープンソースソフトウェアと商用ソフトウェアの両方が含まれていますが、最も評価の高いツールの多くは無料で利用できることがわかります。
10セントでも余裕があれば…
これらの無料オプションの導入にご興味をお持ちいただけましたら、無料のセキュリティ対策を強化するために有料ソフトウェアへの投資をご検討ください。以下の3つのオープンソースツールをおすすめします。いずれも無料版としてご利用いただけますが、フル機能を利用するにはサブスクリプションが必要です。
Nessusは、ネットワークとPCを検査・監視し、システムのセキュリティ侵害につながる可能性のある5万件以上の脆弱性と潜在的な設定エラーを検出する脆弱性スキャナーです。また、HIPAA(医療保険の携行性と責任に関する法律)やPCI-DSS(クレジットカード業界データセキュリティ基準)などの規制および業界フレームワークへのコンプライアンスを確保するための特別なスキャン機能も備えています。
Metasploit は、ネットワークやコンピューターのセキュリティ防御およびアプリケーションに対するエクスプロイトをテストし、その影響を判断して対処すべき弱点を特定できる侵入テスト プラットフォームです。
Snort は、ネットワーク トラフィックを監視して疑わしいアクティビティや悪意のあるアクティビティを見つけて識別する侵入検知および防止プラットフォームです。
サイバー犯罪はコストがかかりますが、防御には必ずしも費用がかかるわけではありません。毎日使用するオペレーティングシステムやアプリケーションには、基本的な保護機能が組み込まれています。無料のオープンソースツールでそれらをサポートすれば、予算をあまり増やすことなくPCとデータを保護できます。安心にお金はかけられない、なんて誰が言ったのでしょう?
