セキュリティ強化...というと、なんとなく難しそうですが、他の業者が導入したネットワーク装置の
入れ替えなどで、機器を解析していると、プロが設定したとは思えない、「簡単に不正アクセス
されてしまいそうなネットワーク」になっているところが意外に多い、という現状があります。

使っているユーザ側も「業者任せ」となっており、そのような設定になっていることすら、気付いて
いないケースがほとんどのようです。

「パスワードなどの認証があるから大丈夫では？」と思うかも知れませんが、
インターネット側からも「関係者以外は誰もアクセスしない"だろう"」という憶測の元に
設定してあるようで、インターネット側から入るための(1)ユーザ名やパスワードが短い
(2)よくある単語やフレーズを使っている(3)いくつかの情報を集めるとログイン情報が推測
出来てしまうということが多いように思います。

また、使う"かもしれない"設定になっていることも多く、実際には使っていないのに、
結果的にセキュリティを弱めているケースも少なくないようです。

サイバー攻撃が多発している現在では、このようなセキュリティの甘い装置やネットワークが
踏み台とされてしまう可能性が非常に高いため、

(1)インターネット側からの接続制限厳しくする
(2)ユーザ名やパスワードは推測されにくく、長いものを使う

といった基本的なことを守る必要があります。

また、ユーザ側も

(1)プロの業者を選定する
(2)業者任せにせず、自分たちもある程度は理解する

といったことも今後重要なテーマになるのではないでしょうか？

次回は、「ISMS更新審査」をテーマに書いてみたいと思います。

情報セキュリティ管理者：J