セキュリティ対策の最適解



今日、とあるガートナーのレポートを目にする機会があったのだが、「セキュリティ対策をどこまでやるか」に対する面白いアプローチがあった。

そのアプローチとは、
1.セキュリティ対策ができていない「二流以下の企業」から、必要最低限の対策を検討する
2.セキュリティ対策ができている「一流企業」から、次の一手を検討する

というものであった。
答えがない領域に対して答えを求めていくアプローチとしてとても面白いと思った。

せっかくなので、レポートの中から、セキュリティ対策ができていない「二流以下の企業」向けの推奨セキュリティ対策をまとめていきたい。

ちなみに、「二流以下の企業向けの推奨セキュリティ対策」とは、「40%以上の企業で実施済みのセキュリティ対策」のことである。

・ポリシーやガイドラインの整備

・教育 (標的型メールの教育や訓練等)

・認証、アクセス権管理

・ネットワーク設計の見直し (セグメンテーションやアウトバウンドの不審な通信への対応
等)

・エンドポイントセキュリティの基本実装 (パターンマッチング型のアンチウイルスソフト導入等)

・サーバやPCへのパッチ適用 (OSだけでなくアプリも)

・セキュアWebゲートウェイ

・セキュアメールゲートウェイ

【参考資料】
サイバーセキュリティの最適解を探る(非公開)