質問
いっそのことウィルスに感染し、他社から指摘をうけて恥をかいたほうが
特攻薬になりそうですね。
ウィルス感染=被害者ではなく、加害者にもなることを説明すべきです。
擬似のウィルスを入手してばら撒いてみる というのがどこかの会社で行っているアンチウィルス対策の確認だそうです。
と言うことを聞いて私もやってみようと思ったら アンチウィルスに引っかかってダウンロードができなかったです。
ウチはかなり最初から導入させていましたので、浸透しています。ウチは中国や東南アジアとの付き合いもあるのですが、あっちからはかなり頻繁にウィルスが来ます。から対策なしじゃヤバいです。
お疲れ様です。
ウイルス対策ソフトに対するコスト間の意識というのは、どこの企業にもあると思います。極端な言い方をすればただの保険ともいえるものですので...。
ウイルス対策ソフトがコスト的にあわないというのは、すでに皆様からのご指摘の通り、ウイルス対策を行っていなかった際の被害が見えていないことが原因だと思います。
どのような職場環境でどのような業種かを存じ上げませんので何ともいえませんが,企業である以上、B2Bの関係で仕事が成り立っているように思います。そのB2Bの中でコンピューターを全く介在せずに仕事が成り立っているのであれば、たぶんそのへんの無料ウイルス対策ソフトで事が足りるかもしれません。
(コンピューターに依存して業務が行われていないから)
実際にウイルス感染が起きた場合のリスクを考えてみましょう。
・業務停止に至る
・最悪、データーの流出 → 外部との取引禁止とかになるかも
・復旧の時間
こういったことを試算して、年間のコストをと比較させて居見てはいかがでしょうか?
なんでも金がかかるという経営層の発想には、そこで社員が動く人件費が積算されていないケースが多いと思います。
会社から見れば給与は費用の一部でしかありませんが実際のところ、ウイルス駆除など業務外の時間に時間を取られることは本来マイナスであることをしっかりと見せつける必要があると思います。
ゼロデイ攻撃など昨今の攻撃パターンは様々で、言い出したらきりがないぐらいのセキュリティ対策が必要な時代ですので、せめてウイルス対策は、風邪を引いたときのマスクみたいなもので、B2Bにおけるエチケットとしても必要だと私は思います。
すでに有効な回答が出ていると思うので、私の方からは参考資料を紹介します。
下記のPDFで、Page60「3.3. コンピュータウイルスによる被害状況」が参考になると思います。(結構な割合でウイルスに遭遇しているようです)(実はウイルスを発見出来ていないだけで、すでに感染しているのでは?と思います)
【PDF】「2011年度 情報セキュリティ事象被害状況調査」調査報告書 (PDFファイル 1.59MB)
http://www.ipa.go.jp/security/fy23/reports/isec-survey/documents/2011_incident_report.pdf
それと、有料のウイルス対策ソフトと無償のウイルス対策ソフトの違いは管理機能の有無があげられます。対象のPC台数が増えれば増えるほど、管理が大変ですので有償ソフトの使用をお薦めします。
そのソフトが良いのか?などは、過去の投稿を検索して参考にしてください。
「口で理論だけ並べて納得するかなぁ?」
PCを故意にウイルスに感染させてみるなどの乱暴な手段は取るべきではないと思います。
会社のセキュリティを守らなければならないはずのIT管理者の職業倫理として非常に大きな問題があると感じます。
経営層は「無料のソフトで十分」だと考えているので、十分でないことをきちんと説明しなければなりません。
かつて2000年代前半にワームと呼ばれるタイプのウイルスが流行し、感染すると社内ネットワーク全体が機能不全に陥るという、非常にわかりやすい脅威が存在していました。
そのような状況では経営層に事業継続の必要性を訴えれば十分な説得力を持っていましたが、現在では状況が変わってきています。
ウイルス対応を行っている上での実感として、明らかにウイルス感染例は以前に比べ減少していると思います。
近年世界中で法整備が進み、ウイルス作成が犯罪として処罰されるようになったことも一因でしょう。
その中でコスト削減を目的に、「PCに無料のウイルス対策ソフトをインストールする」という方法には、一定の理があると言えなくもありません。もっと有効なセキュリティ対策にお金を配分することのほうが効果的である可能性も否定できません。
以上を踏まえた上で、私であれば以下の点を重点的に説明するでしょう。
1.現在ではヒューリスティックスキャン(仮想マシン上の振る舞いを解析する、ベイズ理論などの数学的手法を用いてバイナリを解析するなどの方法で、定義されていない新種のウイルスに対抗する機能)を備えた製品が主流であること。
無料ソフトでは一世代前の手法を用いていることが多く、外見からは見えないテクノロジーの優劣が存在すること。
2.ウイルスに感染した事実が商売上の信用問題に発展する可能性があること。
わかりやすい例で言えば、メールなどでウイルスが拡散した場合、メールサーバがDNSブラックリストに載ります。
その結果、短時間のうちに広範囲にメールが届かなくなります。
現在は無料のブラックリストがたくさん存在し、特に海外のメールゲートウェイ製品ではこのブラックリストが重要な機能を果たしています。これは数年前には無かった状況です。
(WinnyなどのP2Pについてはまず「P2P」とは何か、から説明しなければならないので、メールなどの身近な例で説明すると効果が高いです。)
3.具体的な例を用いて説明
日本で発生した最新の事例を使って脅威を説明します。
iesys.exeのような愉快犯による犯罪予告に使用された例や、農水省の重要機密漏えい事件など世の中的に大きく取り上げられた事件を中心に説明すると経営層にも理解しやすいです。
必要な説明をすでに権威あるニュースや新聞が前もって報道してくれているので、それに乗っかると端的に説明できます。
長文になりましたが、アドバイスとして。
現状のウイルス対策といえば、各自が適当なサイトで、無料のウイルスソフトをインストールしている
まずはこの状態の確実な実行をさせてはいかがでしょうか。何も規則がないならば無料のアンチウィルスさえ入れていないことがあるかもしれません。そのうえで疑似ウィルスを配布して (1)無料のアンチウィルスさえも入れていない者をあぶりだす (2)無料のでは感染しちゃうぞとさりげなくアピールする と今後の進め方がやりやすいでしょう。
コメント(5)さんの「故意にウイルスに感染させてみるなどの乱暴な手段は取るべきではない」も尤もだと思います。何等かの対策を行うときは独断ではなく経営層や委員会などの名前を借りて(了承を得て)行うようにすべきです。
ウチも情シス部門はありますがそこが独断で行うことはせずに「セキュリティ委員会」で審議してから行ってます。もっとも一昨年度まではその委員会自体が弱体で実行力が無かった(素人だけの委員会なんて意味がないです)のですが昨年度からは私が参加して”年間行動計画”を作成して・パスワード変更計画、ネットワーク診断計画、IT資産整備計画、啓蒙活動、...を行いました。
質問
友人から相談されたのですが、ウイルスソフトの導入ができずに困っているとのことでした。
その会社では、ITリテラシーが低く、現状のウイルス対策といえば、各自が適当なサイトで、無料のウイルスソフトをインストールしている状況とのことでした。
当然、導入を検討したとのことですが、今は予算がない、今までにウイルスに感染した事例はないということを言われ続け、導入に至らないようです。
私なら、様々なリスクがあり、それは今日起きても不思議ではなく、ITを使う上での必要投資だといった形で説明すると伝えたのですが、「口で理論だけ並べて納得するかなぁ?」といった反応でした。
そこで、みなさんはどのような方法で導入したのでしょうか?
よろしくお願いします