すごろくをやってみた
http://www.ntt-west.co.jp/solution/security/sugoroku/ntt_sugoroku.html というものがあったのでやってみました。
データセンターを建てておらず、大震災に見舞われて1500万の損害を出したのが大きく、部長にもっとがんばれと言われてしまいました。
自分でもやってみたい人のために、私の選択とかは「続き」以下に折り畳んでおきます。
選択した対策
1.ウィルス対策
ウィルスに感染すると、
・社内外に様々なファイルが飛び散る可能性
・ネットワークダウンの可能性
・重要なファイルが破壊される可能性
などの被害にあいます。絶対に外せない対策だと思います。
2.不正アクセス対策(サーバー)
公開サーバーについては全力でセキュリティを確保する必要があります。
FW などのハード的な対策ももちろん必要です。
どんな小さなサーバーでも、攻撃に晒されない事は無いものと考えた方がいいでしょう。
3.不正アクセス対策(ウェブアプリ)
昨今、SQL インジェクションを狙った攻撃が増えてきています。
パッケージやオープンソースのアプリケーションであれば欠かさずパッチの適用を、
自社製アプリであれば機関に依頼して徹底したテストを行ってもらうのがよいでしょう。
……って、この予算じゃ難しいかもしれません(汗
4.盗難・紛失対策
ノートパソコンの紛失からの情報漏洩はかなり多いです。
車上荒しなどの被害にあって流出した、というニュースをしばしば聞くでしょう?
暗号化やデバイスパスワードは重要な対策になります。
5.不正侵入対策
社内は機密情報の宝庫です。部外者を立ち入らせる事の無いよう対策しましょう。
そういう意味では外へ出ていく機密情報、ゴミとなる書類のシュレッターがけも重要な対策です。
何気ない情報、例えば取引先のメールアドレスや氏名なども、侵入の手がかりとして使われる事があります。
6.メール対策
今や迷惑メールは通常のメールをはるかに上回る物量で出回っています。
ウィルス対策と併せて行っておきたい対策ですが、個人的に「対策してくれー」と思っているから選んだ、というのもありますw
7.情報持ち出し対策
自宅の個人 PC から機密情報が漏洩するのは、社員の自己管理が甘いからではありません。
自宅の個人 PC に機密情報がある時点で(表沙汰にはなっていないものの)漏洩していると考えましょう。
そうは言っても仕事は溢れるもの(汗
VPN あたりでセキュアなリモート作業環境を作ってくれるとありがたいのですが、まあ、それは贅沢というものでしょう。
とにかく持ち出しは規制。
8.内部犯行対策(認証)
情報漏洩は内部からの持ち出しがかなりの割合を占めます。
普段は真面目に働いている社員も、借金が大きくなったなどの理由でいつ犯罪に走るとも限りません。
あるセクションの人間が関係のないセクションの機密情報にアクセスできるような権限設定は、情報漏洩の温床となります。
面倒でもきちんと認証関係の設定を行いましょう。
9.内部犯行対策(ロギング)
その上で監査のためのロギングは必須です。
システムとは当初の想定通りに動かないものと考え、修正のために観測する手段をきちんと確保しておきましょう。
10.無知な社員による過失対策
教育は重要です。万全の対策も、構想だけで終わり、社員が実践しなかった、なんて事になっては意味がありません。
選択しなかった対策
1.データセンター
設定が「服飾総合」で「新進気鋭」というあたりから手控えてしまいました。
データのバックアップ&リカバリは欲しいのですが、自然災害でのダウンタイムはあってもいいかな? と思ってしまった。
アメリカと違って日本の場合、物流や決済など多くの企業の拠点が少ない大都市に集中しており、例えば自社が東京にあって、倉庫も東京、人材も多くが東京に集中していたとして、東京が直下型大地震でダメージを受けた時は人もモノも動かせない時であって、サービスが維持されていても意味が無いんじゃないかなぁ、と思うわけです。
そもそも小売業者の場合、大災害があった場合って、まずは在庫の状態確認からですよね?
データセンターに投資するなら倉庫に投資した方がいい気もするし……はい、言い訳ですw
2.認証取得
個人的にはこれが重要だったという話は聞いた事がありませんw
更新に努力は必要ないので、取得まで頑張って後がいい加減、という話なら何度か聞いた事があり、却ってイメージ悪いですww
なお、私はコンサルタントではないので、偏った知識になっている可能性が高いです。
上記内容はあくまで私見なので、これに基づいて自社のセキュリティ対策を行ったりして損害が出ても、責任を負いかねますのでご了承下さい。
所詮、部長にもっとがんばれと言われた程度ですしww