【連載第3回】中小企業のセキュリティ対策チェックリスト20項目
前回はサイバー攻撃の手口を解説しました。「では何をすればいいのか」を、優先度付きのチェックリスト形式でまとめます。
最優先(今すぐやるべき)
- 全アカウントに多要素認証(MFA)を有効化している
- OSとソフトウェアを最新の状態に保っている
- ウイルス対策ソフトが全端末に導入・更新されている
- 退職者のアカウントを速やかに無効化するプロセスがある
- 重要データのバックアップを定期的に取得し、リストアテストを実施している
高優先度
- VPN装置のファームウェアが最新版に更新されている
- メールのSPF/DKIM/DMARCが設定されている
- 管理者アカウントと通常アカウントを分離している
- パスワードポリシー(最低12文字、複雑性要件)を設定している
- 不要なサービスやポートを外部に公開していない
中優先度
- セキュリティ教育を年1回以上実施している
- フィッシングメール訓練を実施している
- Wi-Fiのセキュリティ設定(WPA3またはWPA2-Enterprise)が適切である
- 共有フォルダのアクセス権を定期的に見直している
- モバイルデバイス管理(MDM)を導入している
推奨
- セキュリティポリシーを文書化している
- インシデント対応手順書がある
- ログの取得・保管ルールが決まっている
- サイバー保険に加入している
- 定期的な脆弱性診断を実施している
チェックリストの使い方
すべてを一度にやる必要はありません。まずは「最優先」の5項目を1ヶ月以内に完了させることを目標にしてください。特に多要素認証(MFA)の有効化は、コストゼロで最大の効果がある施策です。
次回は、MFA(多要素認証)の具体的な設定方法を解説します。
← 前回: 【連載第2回】攻撃の手口5選 | 次回: 【連載第4回】多要素認証の設定ガイド →
まとめ・ご相談
セキュリティ対策の強化をご検討の方は、Security365(セキュリティ運用・SOCライト)をご覧ください。
貴社のIT課題について、まずは60分の無料相談でお気軽にご相談ください。