http://q.hatena.ne.jp/1248950509
質問から判ることは
・社内から誰でもFTP可能
・社内LANからルーター経由でインターネット接続
・プロキシーサーバーは使っていないっぽい
その他にも問題点があれば挙げてみてください。
質問者自身がどれだけセキュリティ上の問題があるか理解されていないのが最大の問題の気がしますが、悪い人ではなさそうなので(無知なだけで)支援の質問を立てたいと思います。
他の方(ROMの方)の参考にもなると思いますので宜しくお願いいたします。
今質問されている範囲をセキュリティ強化しても、弱いところから崩れていくので、全般的な対策として
IPAが公開している中小企業の情報セキュリティ対策ガイドラインに「5分でできる自社診断シート」があるのでそれで問題点を把握するのが良いと思います。
(IPAのような公的機関のガイドラインなので社内「特に上層部」の理解も得られやすい)
そして、セキュリティのルール作り(セキュリティポリシー)は上層部を巻き込んで、担当者一人でやらないことだと思います。
そして、上層部や一般社員の啓蒙資料として以下のものをお勧めします。
国民のための情報セキュリティサイト(総務省)
中小企業向け情報セキュリティ対策(経営者向け)(IPA) 左メニューの個人向けなども
新入社員等研修向け情報セキュリティマニュアル(JPCERT)
警察庁セキュリティポータルサイト(パソコンユーザやシステム・ネットワーク管理者向け等)(警察庁)
あんしん処 セキュリ亭(マイクロソフト社)
新社会人に贈る「ビジネスマンが知っておきたい情報セキュリティの基本」(トレンドマイクロ社)
そして三輪信雄「ここが変だよみんなの対策」も読んでおく。
だれが、なぜ、そのファイル(サイト)にアクセスする必要があるのか。
サーバに置くデータを更新するのは誰で、内容を確認し更新処理を行うのは誰の責任でおこなうのかということを明確にしないと、あいまいなままずるずると現状が続いていくと思います。
現状のシステムでは、このような仕掛けを構築するにはかなりのコストがかかるため、一般的な会社では運用で回避することになります。そのためには関係者がどういうリスクがあるからどういう手順で処理すべきなのかという会社の運用ルールを認識しておく必要があるでしょう。
啓蒙活動はなかなか大変ですが、がんばってください。
前の質問でもでていましたが、シンクライアントなどを導入しローカルのパソコンにはデータを一切犯せないというのは、現時点ではかなり有効な選択肢だと思います。
画面をキャプチャーし、印刷されたりしないように、インストールするソフトを制限するという選択肢も検討する価値があります。
最近のAcobat製品では、印刷禁止や、ローカルへのデータ保管を禁止できるようになっています。
こういった機能を使うことで、サーバ上のデータをローカルのパソコンに複製することを禁止できます。
この目的には、日立の「秘文」などのソフトウェアがあるようです。
社内全体に公開するデータ ... イントラネットにサーバを接続し、それを社内の人みんなでアクセスする。
特定の社外の人に効果するデータ ... DMZにサーバを用意し、社内の特別な人や特定のDNSドメインあるいはIPを持つ者社外の人しかアクセスできないように制限する。
一般こ公開するデータ ... インターネットから直にアクセスできる場所にサーバーを用意し公開する。公開データの内容の正しさを保障するため、このサーバにデータをアップロードするのは特定の部署の人間に限定するのが望ましい。
WEBサーバ、FTPサーバは同一の装置でも、物理的に異なる装置でも、論理的に異なる仮想サーバーでも構わない。
教科書的には、情報セキュリティの3要素と呼ばれる C.I.A.(Confidenciality = 機密性、Integrity = 完全性、Availability = 可用性)の3つの要素をいかに確保するか、というのが課題なのですが、とかく、「機密性」の話ばかりが話題になってしまいますね。ジョークとして、「そんなに大切なデータなら、電源切って金庫に入れておけ」という話がありましたが、「可用性」はとかく無視されがちです。
例えば、FTP や USB メモリを禁止しろ、という話も、確かに禁止すれば機密性は向上しますが、業務上の必要性があったり、あるいは、使うことで業務効率が上がるのであれば、単に禁止するのが正しいとはいえません。
なので、禁止したら業務はどう変わるのか、業務遂行に支障は無いか、効率の低下は無いか、新たなリスクは発生しないか、というのを検討し、どうすれば業務上のデメリットを最小に押さえ、機密性を向上できるか、というのを常に考えていく必要があります。
... とまぁ、教科書には書いてあるんだけど、まじめに考え出したら尋常じゃなく難しい。
ただ、一番重要なのは、継続して検討、改善していく、ということじゃないかな。何かセキュリティ対策商品を導入して安心しちゃう人が多いので。
一概にファイルと言っているのですが、漏洩した場合の重要度の切り分けが出来ているのか気になります。個人情報、社内資料(一般・役職者)、web制作用、部署など、ファイルの内容によってリスク重要度・接続頻度(人数)が異なってくるはずです。
1番始めに行うべきなのは、その辺の切り分けがではないでしょうか。セキュリティレベルを上げすぎて仕事に支障があっても困ると思いますので・・・。
たとえば重要度の高い情報の接続・持ち出しには、上司と同僚の二人から書類上の許可を必要にするとか。。。入室管理まで行うとか。。。PW・IDで制限するとか。。。リスクをランク付けして、ランクごとに管理ガイドライン、取り扱いマニュアルの作成するのが良いかと。
また、今までの管理がゆるい場合には、啓蒙で社員にどこまで浸透させるかも重要ですかね。
・入室制限
旧来のカード方式などではなく静脈認証などで入退室管理するほうが良いでしょうね。
・持ち出し制限
書類も機材も、上司と管理部門の両方からの許可が必要にするなど・・・。
・持ち込み機材制限
パソコンはもとより、データを写す事が可能となる各種機器、
カメラやスキャナ類、各種書き込み可能メディア等の持込禁止。
携帯電話の持ち込みも禁止 ← これが意外と重要。携帯電話でのやりとりを傍受するのは難しい。
でも、何をしようとも、管理担当者次第なんですよね・・・。