毎日10時間以上インターネット接続していると、どうしても最新のセキュリティー情報が気になってしまいます。
たまたま見つけた『本気のセキュリティ対策ガイド:中小企業のIT担当者必携』を読んでみました。
なんでもそうですが、PCだけでなく、健康・災害・経済的要素など、危機管理しておくのとしないのとでは、危機発生後の対応が異なります。
影響が大きいと生活ができなくなる可能性も秘めています。
いろいろ感じるところがあり、読んでみたので、少しでも気になる方は、本屋さんに直行してください。
書籍情報
- 書籍名:中小企業のIT担当者必携 本気のセキュリティ対策ガイド
- 著 者:佐々木伸彦
- 発行所:株式会社技術評論社
- 初 版:2020年2月
- 価 格:1,980円(税別)
目次:Contents
この項の中に気になる単語が出ていたら、手に取って読んでみてください。きっと何か得られると思います。
Part1 基礎編
第1章 今さら聞けない情報セキュリティの疑問
第2章 情報セキュリティの基礎知識
第3章 情報資産とリスクの関係
第4章 企業におけるリスク管理
Part2 実践編
第5章 情報セキュリティ対策の全体像を理解しよう
第6章 基本方針と体制図を作成しよう
第7章 計画を立案しよう
第8章 情報資産を特定しよう(人事部の場合)
第9章 組織的にセキュリティ対策を推進するために
第10章 インシデントに備えるために
エピローグ 経営者の方へお伝えしたいこと
Appendix 参考資料
Appendix1 フレームワーク、ガイドライン
Appendix2 クラウドサービスの情報セキュリティ
Appendix3 情報セキュリティの主な対策
Appendix4 情報セキュリティに関するサービス・URL
Appendix5 本書で使用する主な用語
本気のセキュリティ対策ガイド、気になった本のそで
気になる本を見つけたとき、いつも確認するのが、帯・表紙カバー裏・目次とはじめに、ってところ。
この本で興味をもったのは、そで。
本書の対象者
*上司や先輩からセキュリティ対策の検討や推進を丸投げされて困っている方
本書の対象組織
*情報セキュリティリスクを評価したことがなく、リスクを可視化できていない組織
*対策製品を導入しただけの、形だけの中途半端な取り組みになっている組織
そでに記載されている項目の一部を引用しました。
なるほど、なるほど、と・・・
自社や身近に情報セキュリティに精通した人がいなくてもセキュリティ対策を進めることができる考え方や進め方例、手法例、著者のノウハウを学べる本です。
実用書としてはかなりいい本だと思います。ただ、紙質といいますか、めくりにくい、開きにくい、といった感じから、読みづらさを感じてしまうことはとてももったいない・・・私だけかもしれない・・・
Part1 基礎編を読んで
情報セキュリティの基礎知識や考え方、必要性が学べます。
セキュリティってなんだ?、と少しでも感じられる方は、じっくり読むと実践につながる何かを学び取ることができると思います。
『うちの会社なんか攻撃してもなんのメリットもない』、ともしかして思ったのでしたら必ず読みましょう。攻撃者にとっては大きないメリットがありますから・・・
『ウィルス対策ソフトを導入しているから大丈夫』、と思ってる方もその機能を十分発揮しているか、常にみていないといけない。。。
ウィルス対策ソフトだけでは不十分であることをがこの本を通じて学べます。
Part1 基礎編では、対策の必要性を知ることができ、次に何から始めればいいか、どのように進めるか、概要が述べられています。
特に情報資産の部類や重要性の定義・区分、技術的・組織的・人的・物理的な対策の説明は読む価値大。
実践は、Part2.
Part2 実践編を読んで
組織的情報セキュリティ対策の具体的な進め方、実施手順が学べます。特にセキュリティ問題が発生した場合の組織的対応方法は勉強になるのではないかと。。。
フォーマット例もありますし、対応フロー図も例が掲載されています。
事業継続を意識した対策・推進方法は、これから推進しようとしているところにはとても役立つと思います。
まず、トップの宣言と情報セキュリティポリシーの策定と徹底がなかなか手ごわそうだ。基本方針書、作成例掲載有り。
何から始めたらいいかわからない場合には、この本の記載通りに進めると一通りのセキュリティー対策は可能だと思います。
そこから、より自社に最適なシステムに発展させていくことが重要ですが・・・
Part2 実践編 は、多少とも組織運営とコンピュータについての知識がないと読み進めるのがつらいかもしれない。
でも、ISO9000や14000シリーズを取得した経験があれば、大丈夫・・・かも。。。
ただ掲載例を真似るだけでなく、なぜこれが必要か、を考えながら進めることが重要だと感じてしまった。前進あるのみ。。。
著者、佐々木伸彦氏、外務省最高情報セキュリティ責任者補佐官、ストーンビートセキュリティ株式会社社長のノウハウが学べるのは素晴らしいこと。
もちろん、この1冊で著者のすべてのノウハウは学べませんが、少なくとも最小限必要な知識とセキュリティ組織の運営については学べます。いい本です。
この本、経営リスクのひとつにセキュリティリスクがあるとお考えの経営者の方に、オススメします。
Appensix 参考資料
情報セキュリティ対策を実務で進めて行く上で、必要な情報をまとめてくれています。
日常的に利用するイメージで机上に置いておくといいと感じました。
内容は、ご一読ください。
さて、自宅 PC 環境は?
家には、重要な情報ないし、サイバー攻撃なんかあるはずない、だからインターネット接続環境は、業者が設定してくれたままの初期設定でいいや、とか、ファイヤーウォール入れてるから大丈夫、とか・・・ものすっごく危険・・・
ファイヤーウォール、契約事業社のルーターでは、パケットフィルタってなってた。IPv4 と IPv6 があった。
IPv4 、デフォルトでいくつか設定されてた。主要なポートは制御されてるようなので、いいかな、と。。。
やってること
- Windows10、更新プログラムのチェックと必要時の更新
- ウィルス対策ソフト、Defenderの定義ファイル最新チェックと更新
- ほぼ前項で同時に終了しますが、たまに単独で表示されるときあり
- パスワード管理
- 英数字混在
- 英文字は大文字小文字混在
- ログイン先ごとに変更
ルーターに関しては、IPv4 の設定があるし、ルーター先の接続業者で踏み台対策は行ってくれてるだろうと思うので、ルーター設定デフォルトのままで、いいかな?、などと・・・
一度、サポートに相談してみよう。
踏み台にされないために必要なこと
- パソコン、ルーターの脆弱性解消
- OSやファームウェアのアップデート
- マルウェア感染防止
- セキュリティソフト、常に最新版に!
- パスワード管理
- 安易な数字羅列や1文字、誕生日など安易に推測できそうな文字列は使わない
- 同じパスワードの使いまわしをしない
- パソコンから外部へ不審な通信がされていないか監視
- 多分、接続業者の提供してくれてるルーターにデフォルト設定がある
- 気になる方はサポートに聞きましょう
- 未使用サービス・不必要なポートの閉鎖
- ファイアウォール、パケットフィルタリング
- 気になる方はサポートに聞きましょう
いろいろ考えてしまったけど、最低でもOSのアップデートとセキュリティソフトのアップデートは毎日確認、必要ならば更新すべきだな、と再認識しました。
ここで紹介した書籍、興味あれば、こちらからどうぞ ^_^
コメント