1 「最小権限の法則」を守る
必要な人に必要なときだけ権限を与える
一般社員のパソコンに管理者アカウントでログインしてメンテナンスをすると
パソコンに管理者権限のパスワードのハッシュ値が残る
→メンテナンス時だけ権限を与える、メンテナンスに必要か権限だけにする
サーバAの管理者がサーバBにも権限がある・・とか
退職や異動を反映していない
2 パスワードポリシーを設けているか?
利用者のモラルではなく、システムでパスワードを容易にさせない
3 既存のセキュリティー機能を有効にしているか
WindowDefender
ADのProtectedUsers
4 ASを把握しているか
攻撃者となって攻撃できる対象
パソコン、ネットワーク機器、サーバ、SaaSなど
5 2要素認証を導入しているか?
6 脆弱性発覚時の対応体制を構築しているか?
脆弱性に対して、セキュリティ担当者とシステム担当者では、対応する方向性は同
じでも、タイミングは違う
システム担当者 →なにかの作業時に
セキュリティ担当者 →至急
つまり、それを迅速に判断できる体制があるかということ
7 バックアップデータを「イミュータブル」に出来ているのか?
イミュータブル データも変更も削除もできない状態のこと
クラウドの場合だと、オブジェクトロックなどで実施
8 バックアップデータに「エアギャップ」を設けて保存しているか
エアギャップ 対象のデータネットワークから物理的、論理的に隔離すること
磁気テープへの保存、オンラインストレージへの保管など
9 保管データの時間に関する設定ができているか
攻撃者が侵入する前なら、復旧に使えるデータとなる
10 復旧手順を確立できているか?
複数システムにまたがる場合は、手順も複雑化し、机上だけでは難しくなる