カテゴリー: マニュアル

一部は内容は管理者権限が必要です。管理者は各社1~2名以内です。

投稿日:

中小企業向けのセキュリティ対策 Microsoft defender for businessについて (エンドポイント保護 EDR)

今回は、この「Microsoft Defender for Business」がなぜ中小企業の情シス担当者にとって最適解になり得るのか、その具体的なメリットを3つのポイントに絞って解説します。

  1. 大企業レベルのEDRを中小企業向けに最適化
    従来の無料版Defender(Microsoft Defender Antivirus)は、既知のウイルスを防ぐEPP(Endpoint Protection Platform)としては優秀ですが、未知の脅威やすり抜けてきた攻撃を事後検知する能力は持っていません。

Defender for Businessは、大企業向けの高機能セキュリティ「Microsoft Defender for Endpoint」のコア技術を、従業員300名以下の中小企業向けにパッケージ化したものです。万が一ランサムウェアなどのマルウェアが侵入しても、その後の不審な挙動を検知して被害の拡大を食い止める「EDR」機能がしっかりと備わっています。

  1. 専任のセキュリティ担当者が不要な「自動化」
    EDRを導入したものの、「アラートが多すぎて対応しきれない」「専門知識がないとログが読めない」という運用面の壁にぶつかるケースは少なくありません。

しかし、Defender for Businessには「自動調査と修復(AIR: Automated Investigation and Response)」という機能が搭載されています。脅威を検知するとAIが自動で原因を調査し、推奨される修復アクションを提示(または設定によって自動実行)してくれます。ひとり情シスや、他業務と兼任している管理者の運用負担を劇的に減らしてくれる強力な味方です。

  1. Microsoft 365 Business Premiumなら「追加費用なし」
    予算確保において、経営層への最大の訴求ポイントになるのがここです。

Defender for Businessは単体(スタンドアロン)で契約しても月額500円程度と安価ですが、もし貴社がグループウェアとして「Microsoft 365 Business Premium」を契約している(あるいは今後の移行を検討している)のであれば、実はこのセキュリティ機能が標準で内包されています。

つまり、OfficeアプリやTeams、メール環境を整えるためのライセンス費用の中に、最高レベルのEDR環境まで含まれているということです。稟議書を書く際、「Officeの包括ライセンスにEDRが付いてくるため、現在契約している他社製ウイルス対策ソフトの更新費用を丸々削減できます」という、極めて説得力のある提案が可能になります。

まとめ:次世代エンドポイントセキュリティの最適解
境界防御(UTM)だけでは昨今の高度なサイバー攻撃やサプライチェーン攻撃を防ぎきれず、EDRの導入はもはや大企業だけのものではなくなりました。

予算と運用リソースに悩む中小企業のシステム管理者にとって、OSとの親和性が抜群に高く、低コストで、かつ運用の手間がかからない「Microsoft Defender for Business」は、現在最も理にかなった選択肢と言えるでしょう。次回のセキュリティソフトの更新時期や、PCのリプレイスのタイミングに合わせて、ぜひ検証してみてはいかがでしょうか。

Microsoft Defender for Business|ライセンス購入〜オンボード手順書

Microsoft Defender for Business|運用編

Microsoft Defender for Business 端末削除(オフボード)手順書

投稿日:

出張・外出の多い社員に伝えたい!「ジュースジャッキング」の脅威と対策

社内システム管理者の皆様、日々のヘルプデスク業務やインフラ運用、お疲れ様です。最近、社内で出張や外出が増えてきて、社員から「スマホのバッテリーがすぐ切れる」「外出先で充電できる場所はないか」といった相談を受けることはありませんか?
今回は、そんな外出先での充電に潜む罠、「ジュースジャッキング(Juice Jacking)」についてまとめました。

■ジュースジャッキング」とは?
ジュースジャッキングとは、空港、カフェ、ホテル、駅などに設置されている公共のUSB充電ポートを悪用したサイバー攻撃のことです。英語で「ジュース(Juice)」は「電力・バッテリー」を指すスラングであり、それを「ジャック(乗っ取る・盗む)」することからこの名が付けられました。

USBケーブルは、スマートフォンの充電(電力供給)だけでなく、PCとのデータ同期(データ転送)にも使われますよね。ジュースジャッキングは、この「1本のケーブルで電力とデータの両方を送れる」というUSBの仕様を悪用しています。

攻撃者は、公共のUSBポートの裏側に小型のPCや悪意のあるデバイスを仕込みます。利用者が「ラッキー、ここで充電しよう」と自分のスマホを繋いでしまうと、充電と同時に裏でデータ通信が行われてしまうのです。

■具体的にどんな被害に遭うの?
主な被害は以下の2パターンです。

  1. データの窃取(データエクスフィルトレーション)
    スマホ内の連絡先、写真、メール、そして最悪の場合は社内システムへのアクセスパスワードや認証トークンなどの機密情報が、裏側でこっそり抜き取られます。
  2. マルウェアの感染(マルウェアインジェクション)
    ランサムウェアやスパイウェアなどのマルウェアをスマホに送り込まれます。これにより、キーストロークが監視されたり、後日社内ネットワークに接続した際に社内システムへ感染が拡大したりする恐れがあります。

■システム管理者としての対策・社内啓発のポイント
情シスとしては、社員が外出先でうっかり罠に引っかからないよう、事前の対策と啓発が重要です。社内向けのアナウンスでは、以下のポイントを伝えるのが効果的です。

  1. コンセント(ACアダプター)を持参させる
    最も確実な対策です。公共のUSBポートに直接ケーブルを挿すのではなく、モバイルバッテリーや自身のACアダプターを使ってコンセントから充電するよう徹底しましょう。コンセント経由であれば、データ通信は物理的に発生しません。
  2. 「充電専用ケーブル」を使わせる
    USBケーブルの中には、データ転送用のピン(配線)が物理的に結線されておらず、電力供給しかできない「充電専用ケーブル」があります。外出時にはこれを使わせるのも手です。
  3. 「USBデータブロッカー」の導入を検討する
    「データブロッカー(別名:USBコンドーム)」と呼ばれる小さなアダプタがあります。これをUSBポートとケーブルの間に挟むことで、データ転送用のピンを物理的に遮断し、電力だけを通すようにしてくれます。
    出張が多い営業部材として、情シスから一括購入して配布するのも、セキュリティ投資として非常に有効です。
  4. スマホ側の警告を見逃さない
    スマホを接続した際に「このコンピューターを信頼しますか?」「USBの接続モード:ファイル転送」といったポップアップが出た場合は危険信号です。ただの充電ポートのはずなのに、裏でデータ通信をしようとしている証拠なので、すぐにケーブルを抜くよう社員に指導しましょう。

まとめ
ジュースジャッキングは、手口自体は古くからあるものの、USBポートが街中に溢れている現代だからこそ、ふとした瞬間に被害に遭いやすい攻撃です。
「ただ充電しただけなのに、会社のデータが漏洩した…」なんて悲劇を防ぐためにも、定期的な社内アナウンスや、安全な充電グッズの貸与・配布を進めていきたいですね。

投稿日:

「UTMを入れたから完璧!」と思っていませんか? 侵入されることを前提とした最後の砦『EDR』の必要性

こんにちは。社内システム管理者の皆さん、日々の業務お疲れ様です。
前回の記事では、会社のネットワークの玄関口を守る「UTM(統合脅威管理)」についてお話ししました。「ルーターだけでは泥棒が通り放題なので、玄関に警備員(UTM)を置きましょう」というお話でした。

「よし、UTMを入れたからもう安心だ!」
そう思われた方、申し訳ありません。実は、現代のサイバー攻撃はそれだけでは防ぎきれないケースが増えているのです。今回は、玄関の警備員をすり抜けて室内に入り込んでしまった「泥棒」をどうやって捕まえるか?というお話、『EDR』について解説します。

なぜ「玄関の警備員(UTM)」だけでは足りないのか?
UTMは非常に優秀ですが、万能ではありません。以下のようなケースでは、玄関の警備員をスルーして侵入を許してしまいます。

暗号化された通信:
泥棒が「中身の見えない箱(暗号化ファイル)」を持って入ってきた場合、警備員も中身を確認できずに通してしまうことがあります。

USBメモリからの感染:
そもそも玄関を通らず、社員が持ち込んだUSBメモリから直接パソコンにウイルスが入るケースです。(窓からの侵入のようなものです)

テレワーク中の感染:
会社の外(自宅やカフェ)でパソコンを使っている時は、会社のUTM(玄関)を通っていないため無防備です。

つまり、「侵入を防ぐ(UTM)」だけでなく、「侵入された後にどう気付いて対処するか」が重要になってくるのです。

従来のウイルス対策ソフトと「EDR」は何が違う?
「パソコンにはウイルス対策ソフトを入れているから大丈夫でしょ?」
そう思うかもしれませんが、ここにも落とし穴があります。

これをまた「防犯」で例えてみましょう。
従来のウイルス対策ソフト(EPP)
役割: 「指名手配犯リスト」との照合

仕組み:
過去に見つかっているウイルスのリスト(定義ファイル)を持っています。「こいつはリストに載っている犯人だ!」と分かれば捕まえられます。

弱点:
リストに載っていない「新種の犯人(未知のウイルス)」が変装して入ってくると、一般市民だと思ってスルーしてしまいます。

今回おすすめする「EDR」
役割: 「監視カメラ」と「行動分析」

仕組み:
EDRは、パソコン内部での「挙動(ふるまい)」をずっと監視しています。

「普段使わない夜中に大量のファイルを勝手に書き換えている(ランサムウェアの疑い)」

「いきなり外部の怪しいサーバーと通信を始めた」
といった「不審な動き」を検知して、即座にそのパソコンをネットワークから隔離(ロック)します。

強み:
犯人の顔(ウイルス名)を知らなくても、「やっていること」がおかしければ止めることができます。

中小企業にこそEDRが必要な理由
「そんな高度なシステム、うちは大企業じゃないし…」と思われるかもしれませんが、実は人手の足りない中小企業のシステム管理者にこそ、EDRは強力な味方になります。

  1. 被害の拡大を自動で防ぐ
    もしウイルスに感染した場合、社内システム管理者が異変に気付いてパソコンのLANケーブルを抜きに行く頃には、手遅れ(全社のデータが暗号化される等)になっていることがほとんどです。EDRなら、不審な動きを検知した瞬間に自動でネットワークから遮断してくれるため、被害を最小限に抑えられます。
  2. テレワーク環境も守れる
    EDRはパソコン自体にインストールするエージェント型のソフトです。会社の中にいようが、出張先のホテルにいようが、同じレベルでパソコンを監視し続けてくれます。

導入への第一歩
セキュリティ対策は「多層防御」が基本です。

UTMで、玄関での侵入を防ぐ。

従来のソフト(EPP)で、既知のウイルスを駆除する。

EDRで、すり抜けた未知の脅威を検知・隔離する。

この3段構えが、今の時代の標準になりつつあります。

最近では、従来のウイルス対策ソフトにEDR機能が統合された製品や、運用をプロにお任せできる「運用監視サービス付き(マネージド)EDR」も増えています。
「今のウイルスソフトの更新時期」が来たら、ぜひ一度「EDR機能付き」への乗り換えを検討してみてください。

投稿日:

ゲスト/個人スマホ用Wi-Fiの導入が、実は最強のセキュリティ対策になる理由、「禁止」から「分離」へ

社内システム管理者のみなさん、日々のネットワーク管理お疲れ様です。
社員から「個人のスマホをWi-Fiに繋ぎたいんだけど」「お客様用にネット環境ないの?」と聞かれるたびに、「うちはセキュリティポリシー上、禁止です」と断る……。そんなやり取りに、少し疲れていませんか?

「余計な穴を開けたくない」「管理対象外のデバイスなんて入れたくない」。その気持ち、痛いほど分かります。システム管理者として当然の防衛本能です。

しかし今日は、あえて少し未来の話をさせてください。 実は、「ゲスト/個人用SSID(Wi-Fi)を開放することこそが、社内ネットワークを鉄壁にする」という、パラダイムシフトについてです。なぜ「入れる」ことが「守る」ことになるのか。その理由を3つのポイントで前向きに考えてみましょう。

  1. 「見えない接続(シャドーIT)」を可視化する
    私たちが一番恐れるべきは、実は「管理下にあるWi-Fi」ではなく、「管理者が知らない通信」です。

Wi-Fiを全面禁止にしていても、社員は個人のスマホでテザリングをしたり、ポケットWi-Fiを持ち込んだりして、業務PCをネットに繋いでしまうことがあります。これは、私たちの監視の目が行き届かない「裏口」が空いている状態です。

そこで、あえて公式に「ゲスト/個人用SSID」を用意します。
社内LANとはVLANで完全に切り離す(インターネットに出るだけ)
認証ログを残す

こうすることで、アンダーグラウンドで行われていた通信を、管理可能な「表の通り」に誘導できます。「どうぞここを通ってください」と道を作ることで、裏道を塞ぐのです。

  1. 「混ぜるな危険」:分離こそが最高の防御
    「個人のスマホがウイルスに感染していたらどうするんだ!」 その懸念はごもっともです。だからこそ、業務用PCと同じネットワークに繋がせないために、専用のSSIDが必要なのです。

現状、なし崩し的に業務用SSIDのパスワードを教えてしまっているケースはありませんか?それが一番のリスクです。

業務用SSID: 社内サーバーやプリンタにアクセス可。会社支給PCのみ。

ゲスト/個人用SSID: インターネットのみアクセス可(クライアント分離機能をON)。社内リソースへは一切アクセス不可。

このように「土管(インターネットへの出口)」だけを提供することで、万が一ゲスト端末が汚染されていても、社内システムには指一本触れさせない環境が構築できます。これは、流行りの「ゼロトラスト」の第一歩でもあります。

  1. 本質的な業務への集中と、UXの向上
    「繋げない」と断るストレス、こっそり繋いでいる人を見つけて注意するストレス。これらは、本来私たちが注力すべき「システムの改善」や「DX推進」の時間を奪います。

専用SSIDを設置し、QRコードを会議室に貼っておく。たったこれだけで、以下のようなメリットが生まれます。

来客対応のスマート化: お客様にスムーズにネット環境を提供でき、会社のブランドイメージが向上します。

社員の満足度向上: 休憩時間に動画を見たり、自身のスマホで調べ物をしたりする際の「ギガ不足」を解消。福利厚生的な側面も持ちます。

管理者の負担減: 「繋ぎたい」という問い合わせが激減します。

技術的なハードルは、実は高くない
「でも設定が面倒くさそう……」と思われるかもしれません。しかし、最近の法人向けアクセスポイントやUTMは、驚くほど簡単に「ゲストポート」「ゲストWi-Fi」の設定が可能です。

VLANでネットワークを論理的に分割する、または専用機能を備えてWi-Fi アクセスポイントを導入することです、Cisco Meraki、バッファローなどが管理者管理機能を備えている機器が増えています

ゲスト用VLANからは、社内IPアドレス帯への通信をFirewallでDropする

帯域制御(QoS)をかけ、業務通信を優先する

基本はこの3つだけです。一度作ってしまえば、運用はほぼ自動です。

結論:攻めのセキュリティへ
ゲスト/個人用SSIDの導入は、セキュリティの「妥協」ではありません。むしろ、守るべきものを確実に守るための「積極的な隔離策」です。

「禁止」で守る時代から、「分離」して安全に共存する時代へ。 私たちの情シス業務を少し楽に、そして会社全体を少し便利にするために、この「前向きなセキュリティ強化」を検討してみませんか?

投稿日:

Windows パソコン復旧が新機能にPCのトラブルシューティングにおける最終手段:Windows回復オプションの進化

「パソコンの調子がおかしい」「起動しない」といった、多岐にわたる問い合わせに対応する兼任システム管理者やシステム部門担当者にとって、Windows 回復オプションはシステムの復旧における重要な最終手段です。

先日、Microsoftはこの回復オプション内の復旧機能を更新すると発表しました。これにより、ユーザーはよりピンポイントかつ効率的にPCの状態を回復できるようになります。この新機能は、まず数日以内にWindows Insider Program向けに公開される予定です。

トラブルが発生しないことが最善ではありますが、インシデント発生時に迅速に対応するため、社内システム管理者としてはこれらの新機能に関する必要最低限の知識を身につけておく必要があります。

管理者向けに、現在利用可能な最新情報をまとめましたので、詳細はこちらをご覧ください。