質問
本社に100台くらいのPCと30台くらいのサーバーがあります。セキュリティ対策は以下のようなものです。
・PCとサーバーにF-Secureを入れています。
・プロキシはありません。
・インターネットとの出入口はYAMAHA RTX1210と透過型Fortigateが付いています。
・WORKGROUP環境です。
・機密性の高い情報を扱う部署のPCのみ一般ユーザー権限で運用し、他は管理者権限です。
・機密性の高い情報は自動暗号化を掛けています。
・CSIRTはありません。
もっと安全な環境にしていきたいと思う一方で、際限がないとも感じています。
つきあいのある他社代表か営業に勧められたようです
この場所にも何回も書いていますが
こういうのが一番しまつに悪いです。社長からの要請なので無視するわけにもいかず、さりとて勧められた内容は当社にとっては的外れということが多い。
弊社は50名程の人材系企業です
50名で何割くらいが派遣されているのでしょうか。セキュリティ対策としては内勤者が対象になると思いますが、”客先の重要情報を保管している”、”多数の個人情報(それも単に住所・経歴ではなく趣味や病歴のように機密性の高いもの)”が無いのならば、それほどの対策は不要ではないでしょうか。
セキュリティなんてお金を掛けようと思えばすぐに何百万・何千万ですし、だからといって完璧でもないので、適当なところで納めないとムダになります。
desato様
ご回答いただきありがとうございます。
セキュリティに全く関心がないよりは良いと感じているのですが、
弊社代表を説得するための工数で別の課題が遅れるのが困っていたりは
します。
そして、弊社は人材派遣ではなく人材紹介なのですが
このような状況となっております。
金融系企業ほどのセキュリティは必要ないと考えているのですが(PCI-DSS取得など)、
規模が小さいとはいえ外部侵入対策程度は必要と考えています。
ahnason様
具体的な環境についてお知らせいただきありがとうございます。
大変参考になります。
質問
お世話になります。
弊社代表からセキュリティ対策としてCSIRTの設置やボットネット対策を
行った方が良いのではないかと言われています。
(つきあいのある他社代表か営業に勧められたようです)
具体的にはこれらの話が挙がっているのですが、個人的には
CSIRTの設置は企業規模に対して大げさであると感じています。
ボットネットの対策にしても、そもそもYAMAHA製ルータしか利用していない状況ですし、
出口対策の前にIPS/IDSを導入するのが現実的と考えているのですが
この感覚が正しいのか自信を持てず投稿させていただきました。
皆さまどうされているかご教示いただけないでしょうか。
※弊社は50名程の人材系企業です