mirolabo
中小企業の経営者向けに、セキュリティの「やるべきこと」と「やらなくていいこと」を整理する。
最新記事
すべて見る →-
クリニックサイトのCSPを技術的に深掘りする ― 場合分け・SRI・unsafe-inlineの罠
前の記事ではCSPの判断軸を整理しました。この記事はその続きで、自分で技術的に理解したい経営者向けに、サイト種別ごとの優先度マトリクス・XSSの仕組み・CSPの限界・SRIや厳格設定の話を整理します。
-
CSPは「全クリニック必須」ではない ― 自院サイトに必要かを5分で見分ける
クリニックサイトの大半(Cartaスキャンでは98%)がCSP(Content Security Policy)未対応というデータがあります。ただし、すべてのサイトにCSPが必須かというと違います。自院に必要かどうかをサイトの種別から見分ける方法を整理します。
-
クリニックのドメインから偽メールが送られる前に ― SPF・DMARCの最低限
別の記事で「メールのドメインを見ても見分けられない」と書きました。だからこそ、ドメインを持っている側で偽メールを送らせない仕組みを入れる必要があります。クリニックの実態と、設定の最低限を整理します。
-
ID/パスワードだけのログインは終わりにする ― 経営者のMFA最低ライン
今でもID/パスワードだけで使っているSaaSはありませんか。流出済みパスワードは数十億件以上、自動攻撃は24時間動いています。完璧を目指すより、最低限のMFAを全アカウントに入れることの方が現実的です。
-
「それは要りません」と言える人を、一人持っておく
セキュリティ対策はやろうと思えばいくらでもお金をかけられます。重要なのは、システムのリスクに見合った対策を選ぶこと。不要な対策を不要だと言える判断軸を整理します。