本社に100台くらいのPCと30台くらいのサーバーがあります。セキュリティ対策は以下のようなものです。
・PCとサーバーにF-Secureを入れています。
・プロキシはありません。
・インターネットとの出入口はYAMAHA RTX1210と透過型Fortigateが付いています。
・WORKGROUP環境です。
・機密性の高い情報を扱う部署のPCのみ一般ユーザー権限で運用し、他は管理者権限です。
・機密性の高い情報は自動暗号化を掛けています。
・CSIRTはありません。

もっと安全な環境にしていきたいと思う一方で、際限がないとも感じています。

つきあいのある他社代表か営業に勧められたようです

この場所にも何回も書いていますが

こういうのが一番しまつに悪いです。社長からの要請なので無視するわけにもいかず、さりとて勧められた内容は当社にとっては的外れということが多い。

弊社は50名程の人材系企業です

５０名で何割くらいが派遣されているのでしょうか。セキュリティ対策としては内勤者が対象になると思いますが、”客先の重要情報を保管している”、”多数の個人情報（それも単に住所・経歴ではなく趣味や病歴のように機密性の高いもの）”が無いのならば、それほどの対策は不要ではないでしょうか。

セキュリティなんてお金を掛けようと思えばすぐに何百万・何千万ですし、だからといって完璧でもないので、適当なところで納めないとムダになります。

desato様

ご回答いただきありがとうございます。

セキュリティに全く関心がないよりは良いと感じているのですが、
弊社代表を説得するための工数で別の課題が遅れるのが困っていたりは
します。

そして、弊社は人材派遣ではなく人材紹介なのですが

• 営業の外出が少ないため社内セキュリティは必要性が高い
• 内勤は10名ほどですが40名ほどは常に社内にいる
• 多数の個人情報を保有している(住所・経歴など)

このような状況となっております。

金融系企業ほどのセキュリティは必要ないと考えているのですが(PCI-DSS取得など)、
規模が小さいとはいえ外部侵入対策程度は必要と考えています。

---

ahnason様

具体的な環境についてお知らせいただきありがとうございます。

大変参考になります。