



お客様は100%のセキュリティ対策を求められます。
でも、残念ながら100%はありません。100%にするには、お客様情報などの機密情報を持たないという方法しかありません。
たとえば、デバイス制御なるソフトがあります。これは、パソコンからUSBメモリにデータを書き出せないようにできます。しかし、USBメモリでは書き出せなくても、スマートフォンには書き出せるなどの、抜け道があったりします。実際、この抜け道による情報漏えい事件が発生しました。(今ではほとんどのデバイス制御ソフトで、この抜け道は無くなっています)
お客様情報を扱う以上、100%完璧はありえません。その場で書類を盗まれることだってあり得るからです。
セキュリティ対策はなぜ難しいのかというテーマで書いてきましたが、書き進めるにつれて、改めて対策の難しさを感じます。
・・・と、ここまで書いて、答えになっていませんよね。
セキュリティ対策は、まず、100%は無いと考えることが大事です。
では、どうするか。
それは、100%は無いのだから、そもそもセキュリティにさらされないようにすることです。
不必要なお客様情報を持たないだとか、不用意にPCを持ち出さないとか、USBメモリを使わないとか、機密情報があるネットワークを完全に分離するなど、セキュリティリスクになる要素をそもそも防ぎます。
分離した上で、セキュリティを高めます。
このとき、1つではなく多層防御の考え方で、複数を組み合わせます。といっても、基本的な対策が中心です。ウイルス対策ソフトの導入、パッチをあてる、アクセスリストによって許可されたところだけにアクセスする、暗号化する、などです。
マイナンバー制度導入に伴い、総務省が自治体に出したセキュリティ対策の指針も実にシンプルな4つです。でも、セキュリティ対策としはとても有効なのです。
[参考]市区町村のセキュリティ対策「4要件」とは
http://www.atmarkit.co.jp/ait/articles/1606/06/news010.html
また、オーストラリア政府が行ったセキュリティ対策の4つも、とても有効だったとあります。
http://sc.seeeko.com/archives/5455657.html