1 一般の企業は、少なからず対策をしているでしょう。いまは、ウイルス対策は標準で有効ですし、、
報道されているような被害にあった企業でも、それなり〜かなり厳密な対策をされていたところが多いです。
例えばアスクルの報告書の記事
yahoo.co.jp/articles/62460524499fa8f152e7569f864cc9fc1203b741">https://news.yahoo.co.jp/articles/62460524499fa8f152e7569f864cc9fc1203b741
2 万全なものは無いです。
一番はネットに繋がないことですが、それでは業務になりません。(極一部の会社や業務ではできるかもしれませんが)
なので、被害を小さく・早めに復旧を目指して
できるだけ侵入されにくく
侵入されても範囲が狭くなるように
侵入に早く気付く
代替え対策
早期に復旧できる対策
これらの組み合わせでの対策、技術的なことだけでなく、運用を含めた組織や人的な対策も多いです。
ランサムウェアや情報漏えいの被害では、VPN装置からの侵入が多いですが、一人の社員がフィッシング詐欺やサポート詐欺に騙されてという例も報告されています。
どれか一つの対策ではなく、網羅的にレベルを上げることになると思います。