#readingsecurityguideline 読書会 5回目をやりました。 https://academist-reading.connpass.com/event/239767/

「中小企業の情報セキュリティ対策ガイドライン」本編の「第2部 実践編」「2 できるところから始める」から「3 組織的な取り組みを開始する」の「(2) 実施状況の把握」まで読みました。

「OSやソフトウェアは常に最新に〜」ですが…これは自分のPCだけでなく、社内外のサーバも同じことなんですよね。（軽んじられることもたまにあったので、一応…。）

「パスワードを強化しよう」で多要素認証の話が出ました。使っているサービスによっては、複数のアカウントで管理できるようになっていないものもあり、多要素認証がついていても設定できないですよね…。

パスワードを掛けたZIPファイルを送り、別のメールでパスワードを送るPPAPの話が出ました。PPAPをやめてどうするかというと、boxなどのファイル共有サービスを使うのがよさそうです。

ファイル共有サービスなどの外部サービスを選定する際にどのようにしたらよいか？という話も出ました。「みんなが使っているから」というだけでなく、サービスの取得している認証（ISMS、Pマーク、ISMAP…）を取得しているか？というのも参考になりそうです。

「実施状況の把握」の点数の付け方で、「実施していない」よりも「わからない」のほうが点数が低いというのが興味深かったです。

次回は明日2022/03/01で、「第2部 実践編」「3 組織的な取り組みを開始する」「(2) 実施状況の把握」からです。（その次は明々後日2022/03/03）

興味のある方はぜひ…！耳だけでもどうぞ！