IT系の仕事をするうえでベンダー資格取得は必要

i-simTripはWindowsに限らずLinuxやFreeBSDなどのUnix系OSのスキルもあります。自慢でいうわけではございませんが、主に使用するサーバ機能は一通り経験し、ベンダー資格も例えばLPIC Level3 Specialtyなど上の資格も取得しております。システム全体を考えた最適な設計をするためには、上位のベンダー資格を取得し技術を体系的に知ることは必須と考えております。また、最新の技術情報の動向にも目を光らせることは必要だと思います。
最新技術は安定性の面で不安がありますが、何年か先の主要な技術を予測するうえで必要ではないでしょうか？しかし日本のIT業界で、高スキルに磨いている人は本当にごく一部です。ほとんどの技術者は過去の実績と他社への同様の業務経験で開発、基盤の導入が行われ、お客様に推奨すべき機能はあってもそれを使わない場合が多々あります。
更に問題なのは日本独自の多重請負構造の問題が拍車をかけています。プロジェクトの管理は受注したベンダーが行いますが、実際の開発、システム構築は下請け会社の人が行うのがほとんどです。そういう人達は少ない給料で働いているためモチベーションが高い人は多くなく、それが原因でスキルの高度化も難しい環境の悪循環もあり、高スキルな人は一部になります。逆にベンダーは会社の費用で教育しますが、実際の現場は下請け任せのため、体系づけたスキルを現場レベルで磨く機会が少ないため、実際最適な設計ができるか？と言われると抜けが出たりもします。つまり管理する大手の会社は頭でっかちで現場レベルを知らず、現場作業者は言われたことだけをする人という仕組みが自然にできあがります。最終的にトラブルや納期の遅れが出て、紙の上では試験をやって完璧なシステムと言えても、本当にそうなのか？疑問に思うものが出来上がるというわけです。
もちろんベンダーだけではなくユーザ企業にも原因があるのですが、ここでは割愛します。

システムのセキュア化は高額なハードウェア導入をしなくてもある程度防げる

上記のような日本の業界の仕組みもあり、インターネットにあるシステムも本当にこれでいいの？というサーバがあちこちに出来上がり、攻撃されるという流れになります。もちろんそれを防ぐためのシステムがあり、その高い製品にお金をかけて防ぐのですが。
メールサーバを例にi-simTripが伝えたいセキュア化を１つのきっかけにしてほしいと思って投稿しました。
メールサーバは基本的にDMZ上に中継用があり、実際のメールがスプールされるサーバは内部というのが多いのではないでしょうか？

送信メールサーバでSSLアクセスするよう構成しましょう

メールサーバでSSL暗号化できる機能を提供しているサーバは多くなってきています。中継するメールサーバで送信する場合に、相手がSSLを使えるのか？使えるのであればSSL暗号を使ってメール送信するような構成にしましょう。そうすれば、自分の組織～相手のメールサーバ間が暗号化されてメール送信されるため、情報漏えいの防止の１つになります。
この機能は自分のメールサーバにSSL証明書が不要です。費用は掛からず暗号化できます。もちろんですが、自組織でSSL証明書を用意すれば、受信時のメールも暗号化した通信になる確率は高まります。最近では安いSSL証明書を販売している業者も国内にあります。メールでの用途なので価格の高いベリサインなどを使う必要性はないと考えます。例外として金融関係などはEV証明書も必要でしょうから、ベリサインなどでしょうけど。
さらにSSLを使う場合ですが、SSL2,SSL3, MD5, RC4の無効化は当然すべきです。

受信メールサーバでは実在アカウントだけ受信するよう構成しましょう

自分の組織の受信メールサーバは宛先ドメインが自分のドメインを全て受信するような構成にしている場合を見かけます。そのため中継用サーバから内部のサーバにメールを送ろうとしても実在しないメールがたまり続け、スパム業者から見れば、そのドメイン宛のメールの場合どのアカウントでも受信してもらえるため甘いサーバに見えます。あなたの組織の回線トラフィックの圧迫にもつながるでしょう。
本当に実在するアカウントのみを受信するよう中継サーバを構成することが大切です。また、実在しないアカウントの場合の拒否コードは初期値550ではなく450にすることも大切です。完全な拒否をすると実在する/しないの区別を相手に与えてしまいます。そのため、何らかの理由で拒否しているという450にして、相手がもう一度再送するつもりがあれば、再送をしてもらう構成にするのです。
スパム業者は再送をすることはしませんので有効な設定です。また、通常のメール受信に影響は与えません。

無料のIPレピュテーション機能を使いましょう

自分の組織に送信してきたメールサーバのIPアドレスがスパムとして認定されたアドレスなのか？を判定する機能を提供しているサイトがあります。例えばspamhaus.orgですが、これを使っている人も多いのではないでしょうか？しかし、間違って登録される場合もあり（ほとんどはそのサービスを提供しているメールサーバがセキュアでないのが原因なのですが）、それで受信できないメールの発生を恐れる組織やベンダー（会社全ての人ではなくたまたま担当した部署の人だったりですが。慎重すぎる人とか。）がいます。しかし、barracudacentral.orgというサイトをi-simTripは提案します。barracuda社はスパムフィルタする機器を販売している有名な会社の１つです。詳しくは知りませんが、その会社の一部なのかIPレピュテーション機能を無償提供しているようです。もちろんbarracuda社の製品でもこのIPレピュテーションを使っているぐらいの機能ですから安心して使えます。使用するためにアカウント登録が必要になります。

必要がない場合、中国からのアクセスを拒否しましょう。

インターネットは世界中と通信できるのが基本です。しかし組織で世界中どこからでもアクセスできる環境は必要あるでしょうか？取引がない国、全く行く可能性がない国であれば、その国からの通信は不要ですよね。全く関係なく自分の組織にアクセスしてくる国を調べましょう。みんなに言えることですが、特に中国からのアクセスが多いと思います。中国などと取引は将来もない、出張で行くこともないなど、不要であればその国に割り当てられているIPからアクセス拒否しましょう。
アメリカ、西ヨーロッパなど主要な国はクラウド提供やOSアップデートサイトがある事もあり拒否できませんが、それ以外で１、２つ程度の国なら問題は出ないでしょう。IANAの関係サイトでどの国にどのIPを割り当てているのか？公開されていますので、それを日々ダウンロードして、加工すればiptablesなどで拒否できます。

最後に思う事

これはi-simTripが伝えたい一部ですが、この設定をすればスパムメールの受信や攻撃が減少すると思います。今回メールサーバを例にしましたが、全てを設定できるとは思いませんが、例えばSSLで相手のメールサーバへメール送信できるようにするのはどの組織でもできることです。しかしそれを設定していないメールサーバは多々あります。システムを構築してもらったベンダーの社員が知らない、実績がある設計のみをする、要望も出ていない設定で追加コストやリスクを増やしたくないなど原因はいろいろかと思います。しかしいざ攻撃されて個人情報が漏えいした場合の損害は甚大だと思います。そんなにコストをかけなくて済むセキュア化はできるだけすべきだとi-simTipは考えます。
確実にいえるのは日本の組織が自社内に海外のようにIT部門で全て行う方式ではなくベンダーに依頼するやり方をする限りなくならない問題です。その組織のIT部門で人件費がかかっても高度技術な人員を増やせば、発注時の要件で実現してほしいことを文書化で防止したり、自組織内で更なるセキュア化も可能です。
セキュリティを気に掛けることにしすぎるということはありません。しかし少ない費用で実現するにはハードにコストをかけるにも限界があります。相手(ベンダー)の事を鵜呑みにせず、ユーザ企業側でもシステムをチェックし、ベンダーに対抗できるほどの技術者の育成は必要ではないでしょうか？
少々独断の意見もありますが、ご容赦頂きたく思います。