小規模企業は資金不足のため、ネットワークセキュリティに多額の資金を投入することが難しいです。しかし、現在国内のネットワークセキュリティ監視がますます重要視されている状況下で、小規模企業が過度な投資をせずにネットワークセキュリティを確保するためには、以下の手順を参考にすることができます:
- 強力なパスワードポリシーを実施し、従業員にユニークかつ複雑なパスワードの使用を要求することで、小規模企業はネットワークやデータへの権限なしでのアクセスリスクを大幅に減らすことができます。
- ソフトウェアやシステムの定期的な更新とパッチ適用
- インターネットアクセス時には VPN を使用する
- ネットワークセキュリティ攻撃への対応計画の策定
- 従業員のセキュリティ意識向上のためのトレーニング
上記の 5 つのポイントは、以下の記事からの情報です:The Importance of Cybersecurity for Small Businesses | by Ismail Tasdelen | System Weakness
上記は技術的なセキュリティ要件ですが、国内の状況に合わせて、以下の項目を追加することもできます:
- 監視当局が注目しているログの保持について、6 ヶ月分のログが必要であり、企業は自社でログサーバーを構築し、定期的にバックアップする必要があります。
- 「ネットワークセキュリティ法」に要求されるリスク評価とグレード保護については、リスク評価はサードパーティ企業に委託することができ、グレード保護は企業の業務システムの状況によります。重要度が低い場合は 1 または 2 のグレードを設定できますが、3 のグレードを設定する場合は、サードパーティの等保企業に委託する必要があります。等保 3 の場合は、対応するセキュリティ機器が必要であり、コストがかかります。
- 資産リストは適時更新する必要があり、自社の資産状況を把握する必要があります。外部に公開する各種サービスは最小限にするようにし、余分なポートを開放しないようにします。
- もし業務システムがある場合は、定期的にオープンソースの脆弱性スキャンツールを使用して定期的にスキャンを行います。