そのアプローチとは、
1.セキュリティ対策ができていない「二流以下の企業」から、必要最低限の対策を検討する
2.セキュリティ対策ができている「一流企業」から、次の一手を検討する
というものであった。
答えがない領域に対して答えを求めていくアプローチとしてとても面白いと思った。
せっかくなので、レポートの中から、セキュリティ対策ができていない「二流以下の企業」向けの推奨セキュリティ対策をまとめていきたい。
ちなみに、「二流以下の企業向けの推奨セキュリティ対策」とは、「40%以上の企業で実施済みのセキュリティ対策」のことである。
・ポリシーやガイドラインの整備
・教育 (標的型メールの教育や訓練等)
・認証、アクセス権管理
・ネットワーク設計の見直し (セグメンテーションやアウトバウンドの不審な通信への対応
等)
・エンドポイントセキュリティの基本実装 (パターンマッチング型のアンチウイルスソフト導入等)
・サーバやPCへのパッチ適用 (OSだけでなくアプリも)
・セキュアWebゲートウェイ
・セキュアメールゲートウェイ
【参考資料】
サイバーセキュリティの最適解を探る(非公開)