Security Tips for Network Administrators - Enterprise

1. 適切なユーザー権限でタスクを行うようにする

管理者権限のあるユーザーは、被害を与える恐れのある以下のような操作を誤って実行してしまう可能性があります。

  • 誤って変更を加え、ネットワークの全般的なセキュリティレベルを低下させる
  • 騙されてマルウェアを実行し、ユーザーの管理者権限を取得したマルウェアがさらに被害を与える
  • ログオン情報を盗まれることにより、第三者がログインし、被害を与えるような操作の実行を許可してしまう

セキュリティを強化するためには、各タスクに対してユーザーが適切なレベルのユーザー権限で作業を行うようにし、管理者権限のユーザー名とパスワードを持つユーザー数を最小限に抑えてください。

2. 信頼できるサイトのみからファイルをダウンロードする

インターネット上では、多くのファイルを多様なサイトからダウンロードすることができますが、すべてのサイトが同じように安全なわけではありません。より安全なものもあれば、そうでないものもあります。ファイル交換サイトや個人サイトなどの一般的な Web サイトは避け、主要な情報源としてよく知られた Web サイトのように信頼できるサイトのみからダウンロードするようにしてください。また、ファイルやアプリケーションの Web ダウンロードを組織内のどのユーザーが必要とするかについても考察してください。日常業務の中で、ファイルを Web ダウンロードする必要があり、かつ信頼できるユーザーのみに権限を与え、彼らを対象に安全なファイル・ダウンロード方法に関する研修を行うようにしてください。

3. ネットワーク共有フォルダの監査を行う

多くのマルウェアがネットワーク経由で蔓延しています。通常、ネットワーク共有フォルダはセキュリテイが十分ではありません。不要な共有フォルダを削除することで、その他共有フォルダおよびそのコンテンツの安全を確保し、ネットワーク感染型マルウェアの蔓延を阻止してください。

4. ネットワークの接続を管理する

コンピュータがネットワークに接続すると、特定のセッション中、ネットワークのセキュリティ設定内容がコンピュータに反映されます。このネットワークが、外部ネットワークである場合や管理者の管轄外である場合、不十分なセキュリティ設定でコンピュータを危険にさらすことがあります。未認可のドメインやネットワークへのコンピュータの接続を、ユーザーに制限することを考慮してください。ほとんどの場合、ユーザーの大半は、主要な社内ネットワークに接続するだけで十分なはずです。

5. ネットワークのデフォルト IP アドレス範囲を変更する

ネットワークは、10.1.x.x 7 や 192.168.x.x などの標準的な IP アドレス範囲をよく使用します。この標準化により、このアドレス範囲を探すように環境設定されたコンピュータが、誤って管轄外のネットワークに接続することがあります。デフォルト IP アドレス範囲を変更することにより、コンピュータが管轄外にある類似のアドレス範囲を探す可能性が少なくなります。また、さらなる予防策として、認可したユーザーのみがネットワークに接続できるようにするようなファイアウォールのルールを追加することもできます。

6. ネットワーク上の開放ポートを定期的に監査し、未使用のポートを遮断する

ポートは、家にたとえれば窓のようなものです。長期間、ポートの状態を調べずに開放し続けると、招かれざる侵入者を引き入れる可能性が高くなります。ポートを開放したままにしておくと、トロイの木馬やワームが、未認可のサードパーティと通信するためにそれを使用することが可能となります。確実にすべてのポートを定期的に監査し、未使用のポートは遮断するようにしてください。

7. ネットワークへの挿入箇所を定期的に監査する

ネットワークの形態やサイズは絶えず変化しているので、組織へのルートをすべて定期的に調べることが重要です。組織ネットワークへの挿入箇所すべてに配慮してください。機密情報の漏えいや、望ましくないファイルやアプリケーションの未検知の侵入を阻止するために、ルートを安全に確保する最善の方法を考察してください。

8. 企業のクリティカル・システムを専用のネットワークに配置する

企業のクリティカル・システムが危険に晒されると、ビジネスプロセスの機能が大幅に低下します。危険に晒されることを避けるために、日常業務で使用されるものとは別の、専用のネットワークにクリティカル・システムを配置することを考慮してください。

9. 新規ソフトをインストールする前に仮想ネットワークでテストする

たいていのソフトウェアデベロッパーは、ソフトウェアのテストをできる限り多く行いますが、それでもご使用のネットワークと同一の環境やセットアップでテストを行えることは稀です。新規のインストールやアップデートが問題を生じないことを保証するために、実際のライブネットワークへインストールする前に、仮想システムでテストを行い、その動作を確認してください。

10. 未使用の USB ポートを無効にする

多くのデバイスは、USB ポートに接続されると、ドライブとして自動的に検知されます。また、USB ポートはデバイスに接続しているどんなソフトウェアでも自動再生することを許可します。ユーザーの多くは最も安全で信頼できるデバイスでさえ、知らないうちにマルウェアをネットワークに導入することが可能だということに気付いていません。どんな危険も避けるためには、未使用のポートをすべて無効にするほうがはるかに安全と言えます。