これだけはやっておきたい!中小企業が行う最低限のセキュリティ対策
何かと後回しされがちなセキュリティ対策ですが、セキュリティは後からガツンと効いてくるものなのでやはり事前対策は必要となります。
ここでは、中小企業が実施しておくべき最低限のセキュリティ対策について整理していきます。
IPAが出しているセキュリティ対策ガイドラインを一読する
IPAが中小企業向けにやっておくべきセキュリティ対策について記載しています。ただ、こちらは方針レベルなので、何をやらなければいけないかを把握するために使いましょう。
以下は、IPAの対策を元により具体的な方法を記載していきます。
OSやソフトウェアの最新化
MDMでデバイスを管理している場合、早急に最新バージョンで問題なく動作するか確認し、アップデートを行いましょう。
仮にMDMを導入していない場合は、社員に啓蒙してアップデートを依頼しましょう。その際、裏でMDMの導入も進め将来的には一元管理できるようにするのが望ましいです。
パスワード強化の強制
パスワード強化を社内に啓蒙しても人間は堕落的な生き物なのでわかりやすいパスワードやパスワードの使い回しが頻発します。
そうした時に管理者側からパスワード強化を強制して上げる必要があります。IDaaSを導入することで一つのアカウントで複数のサービスへの認証を実現するSSOを行ったり、パスワードを複雑にする設定を行うことができます。
SaaSやサーバの設定の見直し
権限の開放範囲や不要なメンバーへ権限を与えていないか確認しましょう。また、退職者や不要なメンバーへ権限を与えている場合、権限を与える際のフローに不備があります。
フローを見直し、管理ができるようにしましょう。
メール誤送信防止設定
メールの誤送信はとても多く、A企業宛のメールがB企業宛に届くこともあります。中には見積や個人情報などの機密情報が入っている場合取り返しがつきません。誤送信防止も完全に防ぐことはできませんが、誤送信の確率を下げることはできます。
多くの企業が使用しているOutlookやGmailで誤送信防止する機能をつけることが可能です。
PPAPをやめる
PPAPとは、メールに添付ファイルをつける際のルールで、添付ファイルにかけたパスワードを別のメールで送る方法です。PPAPはかなり前までは有効とされ、多くの企業で採用されていましたが、近年では意味がないとされ、政府もPPAPを廃止しています。
廃止するためには、クラウドのストレージサービスを使い、ストレージサービス上で権限を付与するようなことでPPAPをせずに安全にファイル共有をすることが可能です。
スパムメール対策
スパムメールを開かないというのも重要ですが、そもそも減らすという方法が本質的な改善です。減らすためには色々とやらなければならないですが、クラウドメールを使うのが最も早い方法でしょう。
このNoteでも書いていますが、Google WorkspaceやOffice365等に乗り換えるのがもっとも早いです。スパムをAIやルールベースで自動検知して弾く仕組みが搭載されており、意識しなくてもスパムを弾いてくれます。
セキュリティ対策をはじめ、情シス全般に関するお悩みの相談も承っております。少しでも興味をお持ちいただいた方は下記からお気軽にご連絡ください!
情シスに関わる悩みや課題のヒアリングやソフトウェアの検証等に使用させていただきます。