セキュリティーについて思ったこと

今年に入り、アサヒやアスクルへのランサムウェア攻撃など、企業の業務を停止しかねない事案が多く発生しているように思う。弊社もソフトウェアを制作、運営する立場から情報漏洩、情報漏洩させない取り組みについて常日頃、検討している。その一部を紹介したい。下記は極めて基本的な取り組みであり、御社にてこのような運営がなされていないのであれば一考してほしいと願う。

【会社側】

サーバーの場所は社員には教えない

セキュリティー抜き打ちチェックを定期的にする

添付ファイル禁止の設定にする(メール設定で可能である場合がほとんど)

社内ネットワークの分離。業務用とインターネット接続用と来客用をすべて分ける

USBポート自体の物理封鎖（キーボード・マウス以外不可能な仕様にする）

生体認証によりログイン可能なPCを全台数設置

PCを2台、用意してメール&ネット用のPCと社内LAN用PCを完全に切り分ける

ソーシャルエンジニアリング訓練を定期的に行う

おとりファイルの埋め込み

【従業員側】

個人のPC持ち込まない

個人の携帯電話持ち込まない

USBメモリーを社内に持ち込まない

googleDrive,dropboxを使用しない

PCに情報をおかない。すべてサーバに情報を置く。

【ソフトウェア側】

パスワードは2段階体制。毎朝、2段目のパスワードをメールアドレスに送信させる方式にする

ファイルコピー検知機能追加

スクショ検知機能追加

カメラ撮影検知機能追加

異常行動検知機能追加

異常な行動が確認できた段階でPCの操作をロックする