セキュリティポリシー

ファイルサーバーに安全にアクセスするため、まずセキュリティポリシー（方針）を決めます
それを基にして、サーバー・PC の検討、アクセス権の設定を検討していきます

漏洩リスクは、ゼロにならない

１．インターネットを利用する限り、盗聴・漏洩は避けられません
　　専用回線なら外部にもれることはありません
　　そこで、OpenVPN を利用し通信内容を暗号化します
　　各PC毎に、証明書・鍵を安全な方法で発行します

２．サーバーは、安全性を最優先にして選びます
　　商用でもっとも利用されている Red Hat Enterprise Linux（RHEL）と
　　同じソースコードで作られた CentOS（Linux）を採用します

３．Samba を導入し Windows のファイルサーバを構築します
　　Windows PC 他からエクスプローラで操作ができます

４．Samba で、フォルダとログインユーザーのアクセス権を設定します

これらの対応で、サーバーに接続するには、OpenVPN の証明書・鍵が必要で
さらにフォルダのアクセスに、Samba のログインユーザーが必要となります
それでも、ファイルが漏洩した場合に備え、セキュリティレベルを検討します

セキュリティレベル（漏洩リスク）

セキュリティレベル（漏洩リスク）に応じて、ファイルの取り扱いを検討します
次の例に倣い、セキュリティレベル（漏洩リスク）に応じて
サーバーに格納するファイルを決めていきます

レベル１：Ａ個人情報、Ｂマイナンバー（個人番号）

漏洩リスクＡ：個人情報保護法により、国から指導や勧告を受けることがあります
　　　　　　　プライバシーマークを取得しているとき、欠格になることがあります

漏洩リスクＢ：マイナンバー法により、懲役もしくは罰金の制裁を受けます

レベル２：取引先預かり情報・データ類

漏洩リスク：取引の停止、損害賠償を求められる等
　　　　　　情報セキュリティマネジメントシステム（ISMS）を
　　　　　　取得しているとき、更新審査が不適格になることがあります

レベル３：社外秘情報

漏洩リスク：他社に渡ると自社の優位性が損なわれる等

レベル４：社内共有情報

漏洩リスク：軽微