日本公認会計士協会のセキュリティ指針は
シンクライアント化だけでは十分ではありません。
日本公認会計士協会の最新のセキュリティ指針に準拠していますか?
シンクライアント化だけでは、必要な対策をすべてカバーできません。
「公認会計士業務における情報セキュリティの指針に係るQ&A」や「監査事務所の適格性確認のためのガイドライン」では、セキュリティ対応はシンクライアントのみならず、多岐にわたる対策が求められています。
シンクライアントで守れるのは、PC紛失時のデータ漏洩リスクだけです。
ランサムウェア攻撃やサイバー攻撃から顧客データを保護するための対策にはなっていません。
現在、サイバー攻撃の手口は高度化しており、複数の攻撃経路からの侵入を想定した全方位のセキュリティ対策が求められています。
侵入される前の防御はもちろん、万が一侵入された場合でも、データの流出を防ぎ、リアルタイムで被害の範囲を把握する仕組みが必要です。
さらに、業務委託や個人端末の利用を許可しているケースでは、データレスクライアントのインストールができないため、それだけでは対応が不十分です。
特にAndroidやiPhoneなどのモバイルデバイスに対しては、モバイルアプリケーション管理(MAM)などの適切なセキュリティ対策が必要です。
個人端末の利用は便利ですが、端末紛失や盗難といったリスクが最も高い場面を想定し、対策を講じる必要があります。
ランサムウェアの脅威は日に日に増しており、一度侵入を許してしまえば、データの搾取が気付かれずに継続される可能性もあります。
監査法人が扱う機密データは、サイバー犯罪者にとって非常に魅力的なターゲットです。現在の対策では、この脅威に十分に対応できていないかもしれません。
コストを抑えながらも、今よりも強力な多層的セキュリティを導入することが可能です。
データレスクライアントだけでは、決して十分ではありません。最低でもプラスアルファの対策を講じる必要があります。
ぜひ一度、セキュリティ対策を見直してみてはいかがでしょうか?
データ漏洩やセキュリティリスクは、
データレスクライアントソリューションだけでは
不十分です
ランサムウェアやウイルス攻撃からの完全防御にはなりません。
ランサムウェアの多くは、メールやWebサイト経由で侵入してきます。データレスクライアントでは、ランサムウェアの侵入や感染を完全に防ぐことはできません。メールだけでなく、Web通信を監視し、ランサムウェアやその他のマルウェアの侵入を防ぐためのセキュリティ対策が必要です。
多層的な防御が必要な時代です。
個人端末(スマートフォン)のセキュリティ対策は万全ですか?
iPhoneやAndroidなどのモバイル端末を業務に利用するケースは増えています。
これによりコスト削減や利便性の向上が図れますが、セキュリティリスクが生じます。
モバイル端末はPCよりも紛失や盗難のリスクが高く、悪意あるソフトウェアによる攻撃やデータ漏洩が発生する可能性があります。
モバイルデバイス管理(MDM)やアプリケーション管理(MAM)を導入し、紛失やデータ漏洩のリスクに備えることが不可欠です。
メールはウイルス対策だけで安心していませんか?
メールは依然としてランサムウェアやスパムの主要な侵入口です。
一般的なウイルス対策では不十分で、AIや機械学習を活用した高度なランサムウェア対策やスパムフィルタリングの導入が必要です。
特に、社内のメールサービスを外部のレンタルサーバーに依存している場合、さらなるセキュリティ対策が求められます。
端末は常に最新のセキュリティパッチが適用されていますか?
WindowsやAndroidなどのOSには、毎日のように新たなセキュリティホールが発見され、そのまま放置すると重大なデータ漏洩やサイバー攻撃に繋がるリスクがあります。
端末のアップデート管理を徹底し、常に最新のセキュリティ状態を維持することが重要です。
また、不要な機能を無効化することで、攻撃のリスクをさらに低減できます。
業務委託のPCにも適切な対策がされていますか?
短期間の業務委託やリモートワークを行う従業員が増加している現在、業務委託のPCにデータレスクライアントを導入するのは困難です。
さらに、全ての委託社員に専用端末を提供するのはコスト面でも非現実的です。
そのため、仮想デスクトップやデバイス保護機能を利用し、個人デバイスでも安全に業務を遂行できる環境を整備することが不可欠です。
従業員のID管理は適切に行われていますか?
セキュリティ指針では、従業員のID管理が重要視されています。
ID管理を強化することで、パスワードの複雑性や有効期限の設定、二要素認証の導入が可能となり、セキュリティが大幅に向上します。
さらに、セキュリティ侵害が発生した際、ログ追跡によって原因や影響範囲の迅速な特定が可能になります。
紛失対策は全ての端末に行われていますか?
端末にデータを残さないことは重要ですが、データレスクライアントではPCの一部領域しか保護できない場合があります。
ネットワークがない状態や、保護領域外にデータが書き込まれてしまうケースも考えられます。
そのため、Windows、Android、iPhoneなどのデバイスに内蔵された高度な暗号化技術を活用し、全てのデータを暗号化する必要があります。
また、紛失時には、リモートからデータを消去できる仕組みを導入することで、万が一の事態にも迅速に対応可能です。
セキュリティの継続的な運用体制はできていますか?
セキュリティ対策は一度設定すれば終わりではありません。
セキュリティの脅威は日々進化しており、継続的な運用体制が不可欠です。
特に、端末管理やセキュリティパッチの適用に加え、バックアップ体制の整備や監視システムの導入、セキュリティポリシーの定期的な見直しを行うことで、サイバー攻撃やデータ漏洩のリスクを大幅に低減できます。
これにより、攻撃が発生した場合でも迅速に対応し、最小限の被害に抑えることが可能です。
M365 Business Premium +
さとりファクトリのサービスで、
すべてのセキュリティ対策を網羅
M365 Business Premiumは、月額3,298円(1ユーザーあたり)で、上記すべてのセキュリティリスクに対応可能です。
現在ご契約中のメールサービスやウイルス対策、データレスクライアントなどの費用を解約することで、コスト削減も期待できます。
しかも、セキュリティの抜け穴を防ぎながら、より高いレベルの保護を実現できます。
セキュリティ対策は一度導入すれば完了というものではありません。
継続的な監視と運用が重要です。さとりファクトリでは、監査法人向けのセキュリティ対策のノウハウを活かし、リーズナブルな価格で包括的な運用サポートとセキュリティ支援を提供しています。
Microsoft 365 Business Premium(1ユーザ月額3,298円)による
全方位セキュリティ対応
Exchange Online
スパムメールやランサムウェアの侵入をブロックするだけでなく、高度なフィルタリング機能で不審なメールや添付ファイルを自動で隔離し、メールを通じたセキュリティリスクを最小限に抑えます。
さらに、データ損失防止(DLP)機能を使って、機密情報の誤送信を防ぎます。
Intune
全ての端末のセキュリティ状態を最新に保ち、管理者がリモートからポリシーを適用して、端末の利用状況や脅威の状態をリアルタイムで監視可能です。
また、モバイルデバイス管理(MDM)とモバイルアプリケーション管理(MAM)を組み合わせ、BYOD(Bring Your Own Device)環境でも、企業データを安全に保護することができます。
Intune + Entra ID
Intuneは、デバイスの強力な暗号化を施し、デバイスが紛失・盗難された場合にはリモートワイプ機能を使って企業データを即座に消去できます。
Entra IDとの連携により、条件付きアクセス機能が強化され、許可された信頼できるデバイスやユーザーのみが企業のリソースにアクセス可能となります。
これにより、ゼロトラストセキュリティモデルを実現し、サイバー攻撃のリスクを大幅に減少させます。
Defender
Microsoft Defenderは、すべての端末(Windows、macOS、iOS、Android)に対応し、リアルタイムで脅威を検出・除去します。
クラウドベースのAI分析により、最新のマルウェアやフィッシング攻撃にも対応でき、エンドポイント全体を包括的に保護します。
さらに、Defenderのエンドポイント検出と対応(EDR)機能を使って、サイバー攻撃の痕跡を追跡し、異常な動作を自動で分析することで、攻撃が発生した際にも迅速な対応が可能です。
Entra ID
Entra ID(旧Azure Active Directory)は、多要素認証(MFA)やパスワードレス認証を提供し、従業員のIDとアクセスを強力に保護します。さらに、緊急時には、すべてのアクセスログを追跡し、ユーザーの動作を詳細に記録することで、インシデントの原因を特定し、迅速な対応と修復を行います。
条件付きアクセスを使うことで、地理的な場所やデバイスの状況に応じてアクセスを制限するなど、きめ細やかな制御が可能です。
さとりファクトリによる
インフラ運用・セキュリティ監視サポート
セキュリティ・PC運用にはIT管理者が必須となります。さとりファクトリでは皆様に代わって運用やセキュリティ監視・対策を代行いたします。
インフラ運用・監視代行
御社のインフラ管理者として、PCやサーバの運用・監視を代行。お客様のニーズに合わせてカスタマイズしたサポートを提供します。
リモートサポート
ユーザーのPCに対するリモートサポートや問い合わせ対応など、日々のIT業務をサポート。
セキュリティ監視
導入したサービスのセキュリティ監視を行い、問題発生時には迅速な一次対応を実施します。
定期報告・AI活用支援: 定例会議でセキュリティ・運用状況を報告し、AIやITの活用による無償支援も提供しています。
事例
永和監査法人様
Azure Virtual DesktopとIntuneでセキュアな業務環境を実現、日本公認会計士協会の基準を無事クリアしていただけました。
事例記事はこちら>>上場会社等監査人登録制度に沿うセキュリティ強化をAzure Virtual DesktopとIntuneで実現