午後問題対策のために用意された事例集について勉強しました
午後問題対策のために用意された事例集を通して、次のような項目について学習しました。
- 標的型攻撃の対策
「不審なメールや添付ファイルは開かない」、「疑わしいメールのURLはクリックしない」などの基本的なルールをユーザに周知する。
コンピュータのOSやアプリケーション、ウィルス対策ソフトを最新の状態に保つ。
ウィルス感染や情報漏えいが発覚した場合の報告手順を定め、周知する。
フィッシング詐欺等に関する最新情報を周知する。
- パスワードに関する攻撃の対策
パスワードに関する基本的なルールを設定し、周知徹底する。
使われなくなったユーザIDは速やかに削除する。
複数のサービスで同じパスワードの使い回しをしない。
- ソフトウェアの脆弱性対策
脆弱性に関する情報収集を欠かさず、セキュリティパッチが公表されたら迅速に適用する。
サポート終了に備えて、別製品や後継製品への移行を計画し、実施する。
- クラウドサービス利用における対策
サービス提供事業者のセキュリティ対策を確認する。
クラウドに保存したデータについてバックアップを取る。
クラウドサービスの停止時や障害発生時の対応について対策する。
- スマートデバイス利用における対策
個人所有のモバイル機器を業務上で利用する場合は、適切なセキュリティ対策を利用者に義務付ける。
モバイル機器のOSやアプリケーション、ウィルス対策ソフトを最新の状態に保つ。
信頼できるアプリのみをインストールし、業務とは関係のないアプリをインストールしない。
- 内部不正防止のための対策
システム管理者の適切な権限設定と監視
サーバールームや情報機器および記録媒体などの物理的な保護と管理
内部不正防止のための従業員教育
公平な人事評価や適正な労働環境の整備
学習をしての気づき
具体的な事例に基づき問題がなされるので、実務経験があれば取り組みやすいと思います。
事例はインシデント対応やシステム運用に関する有りがちなケースが元になっているため、私自身は実際に似たような事例を経験したことがあるので、臨場感があって理解しやすかったです。
ただし、攻撃の手口やそれに関連するIT技術については最新のものを理解しておく必要があります。
また、関連法案が実際の現場でどのように適用されているかについての事例についても学習が必要です。
そして、情報セキュリティポリシーの導入なども現場の抵抗にあうことが多いので、その対策も問われることが多いと思います。