中小企業のお客様のセキュリティを確保する 3 つの方法【11/9 更新】


(この記事は2017 年 9 月27 日にMicrosoft Partner Network blog に掲載された記事 3 ways to secure small business customers  の翻訳です。最新情報についてはリンク元のページをご参照ください。)

 

今日のサイバー攻撃の手口はいっそう巧妙さを増し、特に中小企業が危険にさらされています。Security Magazine (英語) によると、サイバー攻撃の 70% 以上が中小企業を標的としたものであり、さらに危惧すべきことに、ハッキングされた中小企業の推定 60% が半年後には倒産に追い込まれています。セキュリティ侵害を受けた企業が倒産する主な理由は、復旧にかかるコストです。同記事の試算では、平均 36,000 ドルにも上ります。

私は会計業界と不動産業界の家族経営企業 2 社で働いた経験があり、いかにセキュリティの必要性が高まっているか、同時に中小企業の経営者にとってセキュリティ対策がいかに複雑であるかを目の当たりにしてきました。中小企業はリソースも少なく、セキュリティの専門知識にも乏しい傾向にあるため、サイバー犯罪者にとって格好の標的になります。そのうえ、モバイル デバイスの増加により、社内環境のセキュリティ対策はさらに複雑になっています。以下のような中小企業固有の課題も考慮すれば、サービスとしてのセキュリティの必要性は明白でしょう。

  1. セキュリティの脅威やコンプライアンスのリスクに対して効果的な予防措置を取れるだけのツールや専門知識がない
  2. セキュリティのリスクを特定、評価、軽減することができない
  3. 脅威を検出することはできるが、瞬時に適切な対応を取ることができない
  4. セキュリティのベスト プラクティスや脅威に関するトレンドに精通していない
  5. セキュリティ サービスの選択肢があまりに多いため、どれを選べばよいのか困惑している

1. Techaisle 2015 年度 SMB モバイル導入動向調査   2. Channel Pro Network   3. Verizon 2016 年度データ漏洩/侵害調査報告書

 

中小企業の場合、データ、ワークロード、ユーザーのセキュリティを確保するには、フルタイムで業務に当たっても対応しきれません。そこで、中小企業の被害を防ぐための手助けをしているのが、マイクロソフトのパートナー様です。中小企業のお客様の間で圧倒的な人気を博している Office 365 は、セキュリティ対策の第一歩としても有効です。さらに、マイクロソフトは先日、中小企業のお客様の IT 管理とセキュリティ対策を簡素化する新たな提案として Microsoft 365 (英語)Microsoft 365 Business を発表しました。いずれも、Office 365、Windows 10、Enterprise Mobility + Security (EMS) を含む包括的でインテリジェントなソリューションであり、中小企業のお客様が求めていた生産性、セキュリティ、デバイス ソリューションがこれ 1 つで実現します。

以下に、中小企業のお客様向けのセキュリティ サービスをパッケージ化する 3 つの方法をご紹介します。

 

1.「フロント ドア (正面玄関)」のセキュリティを確保する

信頼のおけるセキュリティ パートナー様は、お客様のデータとデバイスを保護し、被害を受ける前にデータ侵害を特定できる立場にあります。私たちはこのような対策を「フロント ドアのセキュリティ確保」と呼んでおり、それは ID 主導のセキュリティから始まります。自宅にいるときには、玄関で相手を確認し、中に入れるかどうか判断します。それと同じように、お客様のデータやデジタル資産に対しても ID を確認し、アクセス許可を付与するかどうかを決定するのです。このとき、以下の質問に「はい」と答えられることを確認してください。

 

  • だれが自社のデータにアクセスしているか把握していますか
  • リスクベースでリアルタイムにデータへのアクセス許可を付与できますか
  • セキュリティ侵害を即座に特定して対応できますか

 

「はい」と回答するためには、変化し続ける状況に適応し、通常の資格情報の利用と疑わしい利用を区別できるソリューションが必要です。これは、機械学習を活用したリスクベースのポリシーを実装することで実現できます。これにより、リスクの高いイベントやアクティビティをシステムで監視、特定することができます。マイクロソフトは、Multi-Factor Authentication (MFA)、シングル サインオン アクセスIdentity ProtectionCloud App SecurityWindows HelloOffice 365 Advanced Threat Protection高度なセキュリティ管理 (英語) といった優れたセキュリティ機能を提供しているため、クラウドの安全性と生産性を実現するうえで最適な選択肢となります。

お客様によっては、Office 365 E5 SKU や EMS アドオンの購入が予算的に難しいこともあります。このような場合は、パートナー様がコスト効率に優れたサービスを作成し、差別化を図る方法も有効です。たとえば、既存の Office 365 プランに Office 365 の高度なセキュリティ管理を付加すれば、マルウェアやウイルスからの保護、悪意のある URL のブロック、リッチなレポート作成・追跡といった機能を企業に優しい価格で提供することができます。

 

2.コンテンツのセキュリティを確保する

正面玄関のセキュリティを確保したら、今度は家の中にある物を保護します。お客様とデジタル資産のセキュリティ確保に置き換えると、パートナー様は「デバイス内、クラウド上、送信中、すべてのデータを保護できますか」という質問に「はい」と答えられる必要があります。

コンテンツのセキュリティを確保するとは、つまり以下の対策を講じることです。

 

  • コンテンツのポリシー、テンプレート、ルールを定義する
  • 例外を定義する
  • コンテンツ分類ラベルを定義する
  • 使用中の SaaS アプリを検出し、セキュリティ リスク評価を割り当てる
  • デバイス上のアプリによるデータのコピーおよび使用ルールを定義する
  • ID に基づいてデータ共有を制御する
  • コンテンツ ポリシーに違反するデータやユーザーを検出する
  • パートナー様がコンテンツのセキュリティを確保するための対策を講じる

 

中小企業にとって、データは生命線です。だからこそ、お客様とパートナー様の成功には、コンテンツのセキュリティ対策が不可欠なのです。

 

3.デバイスのセキュリティを確保する

デバイスもまたデータやデジタル資産につながる入口であるため、適切に保護する必要があります。前述した「フロント ドア」の例のように、デバイスのセキュリティを確保するプロセスにも、インテリジェントなアクセス管理が必要です。条件付きアクセスを使用すれば、デバイス プラットフォーム (iOS や Android など) や、Microsoft Intune のモバイル デバイス管理ソリューションに登録されているかどうかといった条件に応じてアクセスを制限できます。これにより、PC、モバイル デバイス、アプリを一元管理できます。

セキュリティとコンプライアンスのルールは、会社所有デバイスだけでなく個人所有デバイスにも適用されるため、望ましくないデータ転送を防止し、デバイスの紛失時や盗難時にアプリや機密情報を削除できます。また、Microsoft Intune のモバイル アプリケーション管理機能を使用して、制約をアプリ単位で適用することも可能です。

 

 

ぜひ、新しいビデオ シリーズをご覧ください。Enterprise Mobility + Security の中小企業向けプレゼンテーション (英語)販売シナリオ (英語)セキュリティのデモ (英語)オブジェクション ハンドリング (英語) の各ビデオでは、中小企業におけるセキュリティ対策について解説しています。この 4 本のわかりやすいビデオは、パートナー様がセキュリティに関するビジネスを簡単に構築できるようにサポートするものです。

皆様はビジネスを拡大するために、どのようにセキュリティ関連のマネージド サービスを提供していますか。ぜひマイクロソフト パートナー コミュニティ (英語) で皆様の取り組みについてお聞かせください。

 

 

 

 

Skip to main content