・社内PCを持ち出す際には、所定の(事前に策定した)プロセスを経てから、上長の承認を得る。
・上長の承認プロセスも、適切であるべきである。例えば、実行権限や承認権限は適切に上長IDに付与されているか。
・社外に持ち出すPCには、最低限の資料やドキュメントに限定されるべきである。営業であれば、顧客に見せる最低限の資料、ドキュメント、商品関連情報のみが記載された資料の持ち出しに限定されるべきである。
・外出先での外部インターネット接続などには注意が必要である。ランサムウェア等への感染リスクを防ぐべきである。
・ファイル名に拡張子が記述されている場合、実際にはEXEファイルであり実行した瞬間にマルウェアが動作してC&Cサーバやボットネットなどに接続されてしまう可能性がある
・社員のID、上長のIDなどのように、役職や責任の所在などに応じて適正な権限アサインがなされるべきである。社内の情報セキュリティ管理者はこの権限アサインに関して的確なポリシーの策定を行うべきである。
・ポートスキャンを防止するため、サーバの不要なサービスは停止する。不要なポートは閉じる。
・ファイヤーウォールはポートやフローの攻撃を防止する。アプリケーション脆弱性に起因する攻撃は防げない。
・偽のDNSキャッシュを返す攻撃を防止する。古いキャッシュは信頼性の観点からExpireされるべきである。
・C&Cサーバとの接続を開始したマルウェア感染のクライアントがSSL接続を確立した場合、プロキシサーバでの閲覧・データ採取・ログ取得は困難になるため、一時的にSSLトンネルを終端する必要がある。
・SYNフラッド攻撃を回避するために、ハーフオープン状態である場合にメモリの確保を行わない、などの対策がある
・SYNフラッド攻撃回避のために、SYNパケットの上限に達した場合はSYNパケットを破棄し、下限にまで下がった場合はSYNパケットの破棄をやめる、といった対策も考えられる
・社内に接続してもいいPCなどは、十分に検査されたものを接続すべきである。
・検査サーバで正規のPCであるかを検査し、適正なPCであればLANへの接続を許可する。適正でない、ポリシー準拠でない場合には治療サーバに接続し、パターンファイルの更新、セキュリティパッチの適用、社内ポリシーへの適合処理などを行い、LANへの接続を許可する
・適正なDHCPポリシーに準拠させるため、DHCPスヌーピングを適用する場合がある。サーバなどを接続するポートには、DHCP Trustの設定を行う
・仮想サーバ内のセキュリティも重要である。異なるテナントにアクセスできてはならない。また、不要な仮想サーバへのリソース割り当て、不適切なリソース割り当ても回避すべきである。