地元のネットワーク関係の企業のシステムエンジニアの方にインタビューしに行きました。
目標を最初にお客様と決めることを一番気にかけています。機能を増やすことはセキュリティの穴を増やすことにつながるので、必要・不必要を分けて持たせる機能を明確にしています。
正しく運用することです。一人でも規範意識が欠けるとそこがセキュリティの穴となってしまうからです。 リービッヒ最小律の説明で使われるドベネックの桶の考え方がセキュリティ分野においても使えます。それは、だれか一人でもセキュリティの意識が低ければそこに穴ができ情報が漏洩してしまうという考え方です。
扱う情報をレベル分けしてそれによってアクセスできる人を制限するなどISMSが作成した「情報セキュリティ方針」を参考にしています。
ウィルス対策ソフトやファイアウォールの設定をしたり、社員一人一人がセキュリティの意識を持たせるために、年に2回社員にセキュリティ教育とセキュリティテストをしています。
はじめにパソコンをネットワークから切り離し、上司やネットワーク担当者に報告します。その後、影響範囲の確認を行い、利用者に報告した後に原因の究明と再発防止の対策をし、社内で共有します。
ソフトウェアの更新やパスワードを強固なものにすること。 年々コンピュータの性能が向上しており、数年前までは6桁で数字のみのパスワードを当てるのに長い時間をかけていましたが、今では1秒もかからないようになっている。そのため、パスワードは最低でも8桁で英数字や記号を組み合わせたものがいいです。自動でパスワードを生成するサービスを利用することも一つの手段です。
数年しか持ちません。コンピュータの性能や技術の向上により今とられている対策は数年後には使えなくなるでしょう。そのため、セキュリティに関する知識やソフトウェアのアップデートは怠ってはいけません。
100%安全なものはありません。近い距離の通信は、ケーブルでつないだものが安全です。遠い距離の通信は、専用線でつないだものが安全ですが高価です。一般的に使われているものでは、VPNがあります。
