こんにちは。えんぴつです。

先日は社内研修会でセキュリティ事故の教育があり、情報セキュリティスペシャリスト受験のために学習していたりと、セキュリティを考える機会があったので、簡単に書きたいと思います。

検討すべきこととして、以下のようなことがあります。

・ファイアウォールや各種認証による外部からの不正アクセス対策
・教育や監視機能の存在通知などによる内部からの不正アクセス対策
・サーバの適切な設定による社外公開サーバ（DNSやメールなど）への攻撃対策
・ディジタル証明書によるクライアントやサーバのなりすましの防止
・暗号化による通信データ盗聴対策
・OSやソフトウェアのパッチ適用やウイルス定義の迅速な更新
・入退室管理やワイヤーロックなどによる物理的な対策
・災害や誤操作・不正操作によるデータ消失に備えてのバックアップ
・災害時に事業継続または短時間で復旧できるための仕組みの構築
・機密情報取扱などの契約の確実な締結や法令遵守
・セキュリティポリシ策定と運用による、事故の発生防止や発生時の速やかな対策体制の構築
など

ここに挙げた他にも、考慮するべきことは実に多岐にわたります。
すごく巧妙な手口、日々新手の手口が出てきて、脅威が現れます。
大丈夫だろうと思っていても、大丈夫ではない場合が多いのです。
最新技術、動向には常にアンテナを張り巡らせておく必要があります。

起こってからでは遅い場合が多いのですが、起こらないと危機感や認識が希薄になりがちです。
利便性と相反するため、敬遠されがちなものでもあります。
無線LANなどは、有線よりもさらにセキュリティ対策を徹底する必要がありますが、便利ですぐ導入できるため、セキュリティがおろそかになりがちです。

技術的な対策も大切ですが、やはり、社員のセキュリティ意識を高めることがとても大切です。
どんな脅威があり、どんな脆弱性があり、どんなリスクが内在しているか。
まずはその存在を認識し、どれほどの損害をもたらすかを知る必要があります。
どれほど技術的な対策を施しても、情報の扱い方に問題があれば、事故は防げないのですから。

ここに書かれていることの多くは基本的で、多くの人が認識済みの内容ではあると思います。
それでも、気が緩むと忘れたり黙認されてしまうことがあります。
基本的なことであっても、定期的に話題にだし、教育を実施して、意識していくことが大切だと感じました。