#readingsecurityguideline 読書会 11回目をやりました。 https://academist-reading.connpass.com/event/239767/

「中小企業の情報セキュリティ対策ガイドライン」「第2部 実践編」「4 本格的に取り組む」「(1) 管理体制の構築」「②緊急事態応対制の整備」から「(2) 情報セキュリティ規定の作成」「③対策の決定」まで読みました。

「緊急事態応対性の整備」のところで、「メールやWebブラウザも使えなくなる可能性が…」とありましたが、アカデミストの場合、メールはGmailなので社内LANがダメなら携帯の回線を使えたりします。普段連絡に使っているサービスがダウンした場合の代替手段は考えておいてもよさそうです。

「IT利活用方針と情報セキュリティの予算化」のところで、情報システムの図式化はやっておくと、リスクの特定に効果が高そうです。（描くのは大変そうですが…）

あとは朝話題に上がっていたこちらを簡単にみました。 https://xtech.nikkei.com/atcl/nxt/column/18/01974/030800003/ 添付ファイルやURLをチェックしてくれるWebサービスを紹介してくれていますが、最後の最後で情報漏えいになるので気をつけて…とあって>< 添付ファイルのチェックは自PCのウィルス対策ソフトが一番よさそうです。

ドメインのチェックはMacならターミナルを開いて、「whois academist-cf.com」のようにするのが一番よさそうです。Webでwhois検索できそうなところもあるのですが、特定のドメインのみとか制限のあるものが多いので…。

あとは…httpsの通信で使われている公開鍵証明書の認証方式の話も出ました。DV/OV/EVとあり、いずれもブラウザとサーバ間の通信を暗号化ができることに変わりはないのですが、DVはドメインの存在確認だけ、OVとEVは申請者を確認していたりします。 https://ja.wikipedia.org/wiki/公開鍵証明書#主な認証方式

ブラウザの鍵マークのところをクリックすると中身が見れたりするので、IPAのページを見てみたり、自社のサイトを見てみたりするとおもしろいかもしれません。

次回は明日2022/03/10で、中小企業の情報セキュリティ対策ガイドライン」「第2部 実践編」「4 本格的に取り組む」「(2) 情報セキュリティ規定の作成」「③規定の作成」からです。