Zenn
💁‍♂️

中小企業のための簡単macセキュリティ対策

2022/02/17に公開
macOS
Security
#
情シス
tech

はじめに

中小企業でapple製品を使う際に、何から手をつけたら良いかという話をよく聞きますので、何を優先的に実施した良いかまとめてみたいと思います。
セキュリティに関しては人それぞれこだわりもありますが、まずは自分の経験からリスクが高い&ユーザーの使い勝手を落とさない&費用がかからない事を優先的にまとめていきたいと思います。

中小企業のセキュリティ対策

中小企業、スタートアップにとって、セキュリティ対策と言っても、できてないことが多すぎて何から始めたら良いかと悩み、さらにスキルもあまりなく、学習コストもかかるため、結局後回しになることが多いと思います。しかし周りからはセキュリティセキュリティと聞こえてくるので、何かしないと、、、と思っておられる方は多いのではないかと思います。
そこで今回は、mac製品を題材にSTEP毎にどこまでセキュリティ対策を実施すれば良いかを3つのSTEPにまとめていきたいと思います。

ターゲット

  • まだセキュリティポリシーが会社にない企業
  • 1人または少人数しか管理者がいない企業
  • セキュリティ全くわからんけどmac使っている企業

STEP1 現状の把握

最初に実施することは、mac製品が誰が何台使っていて、ステータス(利用中、廃棄済み)は何かを把握することです。スキルは不要です。エクセルにシリアル番号と一緒にまとめていき、半年に1回棚卸しを実施ましょう。
※シリアル番号はMAC本体に必ず振られている番号です。
https://support.apple.com/ja-jp/HT204308

これを実施することで、まずセキュリティ対策の第一歩、何に対してセキュリティ対策を実施するかという課題がクリアされます。
これをしていないと、macを紛失しました!と連絡があっても、それが本当に会社のmacなのかわからないため、いつどこで買ったものか等を調べていく必要があります。

STEP2 紛失対策

一番多いインシデントが紛失ですので、その対策を実施します。まず初めにしてもらうことは、会社以外のメールアドレスで会社のmacで利用する専用のappleIDを作成してもらうことです。
例えば、gmailアドレスを取得して、appleIDとすることで、会社以外のメールアドレスで登録できます。
appleIDを設定したら「探す」にmacを追加してください。
https://support.apple.com/ja-jp/guide/findmy-mac/fmme9fa362b3/mac
もし紛失した場合は、以下からさまざまなことができます。最初はテストでやってみることをお勧めします。
https://support.apple.com/ja-jp/HT204756
なぜ、会社以外のメールアドレスで登録させる必要があるかというと、今後更なるセキュリティ対策を実施する際に非常に面倒なことになることを回避するためです。

全端末で実施してもらう必要がありますので、ちょっと大変ですが、お金をかけずに一番多いインシデント対策が実施できます。

STEP3 ルール

利用者の教育という観点からルールを作成していきます。〇〇利用規定など作れれば良いですが、長くて読みにくいものはまず読まれないため、簡単でわかりやすいルールを作成してあげます。最初は多くて5個程度にしてあげるとわかりやすいと思います。
ルールは会社によって特色があると思いますので、最低限のルールを記載します。

  • 紛失時は〇〇に連絡する事
  • 有料、無料、ブラウザのアドオン含めて、アプリケーションのインストール時には周囲に確認し、一人でインストールしない事
  • 会社で作成したappleIDは個人端末で利用しない事

明確で分かりやすいルールを作成してあげることで、利用者のセキュリティ教育を実施することができます。少しでも明示的なルールがある状態と、曖昧なルールの状態では、社員のセキュリティに対する意識がかなり違ってきますので、ぜひ実践してみてください。

まとめ

以上で最低限のセキュリティ対策が実施できます。えっ?これだけと思われるかもしれませんが、セキュリティ対策でいうところの、保護対象の把握、リスクの高い事象に対する対策、社員教育を実施しています。もちろんこれが全てではありませんが、セキュリティ対策の足がかりとして実践していただくことで、リスク低下および、今後事業拡大に伴うセキュリティ対策がスムーズに実施できるようになります。

備考-セキュリティ対策ソフトについて

macのセキュリティ対策ソフトは賛否両論ありますが、自分は中小企業において、セキュリティ対策ソフトを入れなければ取引できない場合を除き、インストールは不要だと考えています。理由は、何のソフト的な脅威からmacを守りたいかを考えたときに事業継続に関わるインパクトとなる脅威が中小企業にはあまり当てはまらず、セキュリティ対策ソフト導入に対する効果がほとんどないからです。さらに不用意にセキュリティ対策ソフトを入れると、費用、運用コスト、ユーザーの手間など、さまざまな問題が出てきますので、そのコストを上回る効果が期待される場合に導入を考えることをお勧めします。
決して、セキュリティ対策ソフトを入れておけばOKという考えだけで、入れないでください。
まずは上記3STEPの基本から対策していくことをお勧めします。

Discussion