小規模企業は資金不足のため、ネットワークセキュリティに多額の資金を投入することが困難です。しかし、現在、国内のネットワークセキュリティ監視がますます重要視されている状況下で、小規模企業が過度な投資をせずにネットワークセキュリティを確保するためには、以下の手順を参考にすることができます:
- 強力なパスワードポリシーを実施し、従業員にユニークで複雑なパスワードの使用を要求することで、未承認のネットワークやデータへのアクセスリスクを大幅に減らすことができます。
- ソフトウェアとシステムの定期的な更新
- インターネットアクセス時には VPN を使用する
- サイバーセキュリティ攻撃への対処計画の策定
- 従業員のセキュリティ意識向上のトレーニング
上記の 5 つのポイントの情報源:The Importance of Cybersecurity for Small Businesses | by Ismail Tasdelen | System Weakness
上記は技術的なセキュリティ要件ですが、国内の状況に合わせて、上記の 5 つに加えて以下の項目を追加することができます:
- 監督当局が注目するログの保持期間は、6 ヶ月である必要があります。企業はログサーバーを自前で構築し、定期的にバックアップを取ることができます。
- 「サイバーセキュリティ法」に基づくリスク評価と等級保護が必要です。リスク評価は第三者企業に委託することができます。等級保護については、企業の業務システムの状況を考慮し、重要でない場合は 1 または 2 のレベルを設定することができますが、3 のレベルを設定する場合は第三者等保会社に委託する必要があります。等保 3 レベルを達成するためには、対応するセキュリティ機器が必要であり、コストがかかります。
- 資産リストは定期的に更新する必要があります。自社の資産について十分に理解し、外部に公開するサービスを最小限に抑え、余分なポートを開かないようにします。
- ビジネスシステムがある場合は、定期的にオープンソースの脆弱性スキャンツールを使用して定期的にスキャンすることが重要です。