背景
社内での情報セキュリティ対策及び制度づくりの一貫としてISMSの取得を計画&実施
実際にやったこと
自社SaaSサービスのセキュリティチェック
- AWS及びGCPでの操作ログ等を取得する
- EC2/RDSへの接続ルートの確認と限定作業
自社で使用しているソフトウェア等の洗い出し
- フリーウェアや月次契約のソフトウェアなど実際にどのソフトウェアが使われているのか調査・管理
- 使用してる調査の結果からコンプラチェック及びセキュリティチェックを実施
サーバルームの整理
- サーバルーム内の不用品の処分/使用されていないHDDの削除及び処分
- エアフローを考えサーバの冷却能力向上化
- 各サーバの台数及び機能及びネットワーク構成図の確認
- セキュリティチェック対象デバイス(USBメモリ)などの管理の厳格化
BCP対策への検討
- 地震/火事/パンデミックを想定した社員の安否確認手順の作成
- サーバのデータのバックアップ及びデータの一部クラウド化(Google Driveをマウント)
- 消防法に基づき消化器の設置
- 地震対策としてサーバラック等の固定
- 停電に備えてUPSの確認及び設置
総評
結果としてはISMS承認を取得することは出来たが、すべてのセキュリティ課題を完璧にクリアできたわけではないので今後の運用の最適化やルールづくりなどが必要と感じた。
また、継続して運用のプロジェクトとして活動は継続している。
