今回の案件打ち切りの最大の要因は、我々の社員がウイルス(ワーム)に感染したファイルを顧客に送ってしまったことによるCP違反である可能性が非常に高い。
セキュリティリスク管理のうち、初歩の初歩である。
今のご時世、一番あってはならないものだし、特に今回の顧客はセキュリティ関連には非常にピリピリしている状況だったので、致命的だと思う。
OSがプリインストールされた多くのメーカー製PCには、ウイルス対策ソフトウェアが予め入っている場合が多い。
しかしこれらは、継続購入せずに一定期間が過ぎれば、プログラム自体やウイルスパターンファイルの更新ができなくなり、インストールしてあっても無効となる。
こんなことも知らずに、Windowsのタスクトレイにウイルス対策ソフトのアイコンがあるからといって、対策済みだと思い込んでいたらしい。
これは、個人レベルでのセキュリティに対する危機感の無さがひとつの要因であるが、ではその責任はというと、企業側にほとんどある。
- ITリテラシーの教育欠如
- ポリシーの徹底した周知が無かった
- インフラ/セキュリティ管理者の欠如
- 監査部門の欠如、対応不足
とてもじゃないが、ISMSを取得した(しようとしている)企業のレベルではない。
ところで、話題をウイルス対策に限定すると、ある程度以上の規模のある企業では通常、ウイルス対策ソフトウェアはコーポレート版などの企業向けのものを入れる。
企業向けのものはどこが違うかというと、一般的に
- 更新プログラムやパターンファイルを社内に設置したサーバが代表で受信し、企業内のクライアントに配布する
- サーバ上で、企業内LANに接続しているクライアントやサーバへのウイルス対策プログラムの配布状況や更新状況が確認でき、一元管理できる
- 社内ネットワークへ接続するクライアントへ、強制的にウイルス対策プログラムをインストールさせることができる
- 社内で問題のあるクライアントのアラームやレポートを管理者に通知することができる
- 1クライアントあたりの単価が安い(数が多いほど安くなる)
- ライセンスが一元管理できる
このような機能がある。
ウイルス対策用のサーバを立てる必要があったり、ライセンスがある程度の数以上からでないと対応していなかったりするで中小企業にとってこのようなソフトウェアの導入は難しいかもしれないが、管理面では非常に安心感があり、管理コストも抑えられるものだ。
自宅のPCにもこれを機会に、最新のウイルス対策ソフトを導入した。
コメント