セキュリティ系の商品の件で、どうなのだろうと思うことがあったので、メモしました。いろいろ書いて、面倒くさいやつになることにしました。

クラウドサービスを導入しても、UTMをいれても、

社内ネットワークから情報に辿り着けば、情報は、問題なく持ち帰ることができてしまう。

無線APの穴、共有ファイルの穴、守るべきの情報から、ネットワークのセキュリティを検討する

仕事をするにあたり、外に漏れては困る情報は何か?から考える。

例えば、パソコンの中や、メールボックスの中や、NASなどに保管されているエクセルや図面やファイル。お客様の個人情報類も重要データなどを、

思いつく限りに、列挙する。

守り方を考える

仕事でパソコンを使っている以上、そこで管理する情報には、利用者に責任が発生することを理解する。

一例:会社の中で使うパソコンの設定(外に持ちださないパソコン)

守る仕組みを考える

ネットワークはひとつ 管理は楽ですが、無線APのリスクは?

社内ネットワークのNGを探す

SSID/PWを知っている人物が退職したら?

SSIDとパスワードを知っていたら、ステルス機能を使っても(隠ぺいしても)ネットワークへの侵入は可能。
MACアドレスのフィルタリングも、MACアドレス偽装は可能→ネットワークへの侵入は可能。

→業務用ネットワークにつないで良い端末のルール

→ゲスト用のSSID/PW、ネットワークを分ける方法

 

NASの権限設定を見直す

メールのウイルスチェック、迷惑メールフィルタリングは、レンタルサーバー側とパソコンに導入したウイルス対策ソフトのダブルチェックとする。ウイルス対策ソフトの初期設定が行えているかどうかをチェックする

2018年1月IPAによる発表では、ウイルスおよび不正プログラムの検出経路について、「メール」の割合が最も多く全体の約99.3%と発表されています

https://www.ipa.go.jp/security/txt/2017/q4outline.html

5分でできる自社診断シート IPA というものも発表されています

https://www.ipa.go.jp/files/000055517.pdf

 

管理者は、ネットワークの構成を把握する。業者に依頼した場合は図書を要求する。通信回線の情報の管理は、すぐ出せるようにして、管理者が把握する。

ルーターのパスワード、プロバイダー、通信会社から提供されるIDパスワード、APのパスワードなどなど。

 

守るべきものを把握をしたうえで、UTMやクラウドサービスを利用する

 

セキュリティは面倒ですが、パソコンを使う以上、メールを利用する以上、ホームページを公開する以上、会社としての責務です。パソコンを使う人すべてが気を付けるべきモラルであり、責任です。

 

以上 いろいろ言って嫌われる藤塚調べでした。