RASサーバーへの攻撃を防ぐため、または攻撃の危険性を低減するために、RASサーバーを設定する際、および運用する上で、いくつかの点に留意する必要がある。
まず、RASサーバーを設定する際には、セキュリティを向上させるために、次の点に注意する必要がある。

RASサーバーに割り当てる電話番号は攻撃者に推測されにくい電話番号にする必要がある。たとえば、攻撃者は、企業のホームページや電話帳に記載されている企業の代表番号を元にして、それに近い電話番号を総当たり方式で試し、RASサーバーに割り当てられている電話番号を突きとめることができる。このような攻撃を防ぐために、RASサーバーに割り当てる電話番号は、企業の代表番号などから推測できない番号にする必要がある。

利用者がRASサーバーにアクセス要求を出してからRASサーバーが利用者に応答を返すまでの時間をできるかぎり長くすることが重要である。こうすることによりRASサーバーへの攻撃を低減できる。攻撃者はRASサーバーの電話番号を発見するために、ツールを使って手当たり次第に電話をかける。この場合、効率を上げるために、１つの番号に電話をかける時間を短く設定することが多い。このため、利用者に返す応答時間が長いRASサーバーは発見できない可能性が高い。

利用者がRASサーバーに続けて接続できる時間を制限することが重要である。連続接続時間に上限を設定しておけば、たとえ攻撃者にRASサーバーへ侵入されたとしても制限時間を過ぎると接続が切断され、攻撃が終わる。攻撃を続けるには再接続が必要となる。つまり、不正アクセスによる被害の拡大を防止できる可能性がある。このため、RASサーバーの連続接続時間をできるだけ短く設定することが望ましい。
   次に、RASサーバーを運用する上では、許可なく設置されているRASサーバーに注意する必要がある。社内に許可されていないRASサーバー（場合によっては悪意のある社員や関係者が無断で設置した不正なRASサーバー）が設置されていないかどうかを定期的に確認する。確認の方法としては、たとえば、夜中に会社のすべての電話番号を順にダイヤルアップし、応答を確認するという方法がある。
   また、セキュリティポリシーに、会社の許可なしにRASサーバーを設置することを禁止するという条項をもりこみ、社員に周知する。場合によっては、無許可RASサーバーの禁止について社員教育を行うことも必要である。

リモートアクセスVPNを導入する際、次の点について検討する必要がある。

IPsecとSSL-VPNの特性を理解し、適材適所に導入することが効果的である。IPsecは設定が複雑ではあるが半固定的に利用することができるため、LAN間接続VPNに向いている。SSL-VPNは導入の負担が少なく、モバイル端末等の一時的なVPN接続に向いている。アプリケーション等に制限がある場合は、IPsecの導入を検討することが必要となる。

VPN機器を選定する際には、企業でどのような業務形態にVPNを利用するか目的をはっきりさせ、同時に接続するクライアント数および最大トラフィック数を予測する。これによって、企業に必要なスループットが決まり、必要な性能を持った機器を選定できる。

VPN機器、VPNクライアントソフトのベンダを同一にする。異なるベンダの場合、処理方法の違いなどにより接続先の相手と接続できない可能性があるためである。クライアント側にはVPN機器付属のクライアントソフトを使用する必要がある。

VPN機器が障害などによりダウンした場合、VPNが利用できなくなってしまう。この対策としては、VPN機器を二重化し、ダウンの際にVPN機器を切り替えられるようにすることで、可用性を確保できる。ダウンの際にVPN機器を切り替える方式には接続状況を保ったまま切り替える方式と、一度切断して切り替える方式の二通りがある。接続の切断を避けたい場合には、接続状況を保ったまま切り替えることが可能なVPN機器を選択する必要がある。

パスワード認証には、利用者のパスワードの扱いがセキュリティを低下させる問題がある。利用者の多くはパスワードを覚えやすくするため、弱いパスワードを使用する傾向がある。攻撃者は一般的にパスワードクラッキングツールと呼ばれる専用のソフトウェアを使用してパスワードを当てる。パスワードクラッキングツールでパスワードを当てる方法は大きく分けて２つの方法に分類される。
ひとつは、総当り攻撃（ブルートフォース）と呼ばれるすべての組み合わせを試していく方法である。もうひとつは、辞書攻撃（ディクショナリーアタック）と呼ばれる様々な辞書に載っている単語を使ってパスワードを探し当てる方法である。弱いパスワードは、これらのパスワードクラッキングツールを使用することで簡単に探し出されてしまうであろう。
また、利用者の中には、覚え切れないパスワードをメモに書いて、ディスプレイや壁に貼っている場面も見受けられる。不適切なパスワードの使用や管理により、攻撃者に簡単にパスワードを盗まれ、なりすましによる不正アクセスの被害を受けるおそれがある。パスワード認証のセキュリティを向上させるにはパスワードを強化する必要がある。

運用ルールでは、以下に示すような項目を含むルールを記述し、従業員に徹底する。

他人に推測されにくいパスワードを使用させるためには、以下に示す点に注意する必要がある。

推測しにくい強固なパスワードでも、同一のパスワードを長期間使い続けるとパスワードが解読される危険性が高くなる。そのため、定期的にパスワードを変更させる必要がある。また、利用者に最初に配布されるパスワードは、ただちに変更させることが必要である。合わせて24時間で使えなくするなどの対策を講じるとよい。
また、ソーシャルエンジニアリング¹の危険があるため、利用者には、たとえシステム管理者、同僚や友人であってもパスワードを教えることを禁止させることが必要である。

システム管理者は以下を実施することが望ましい。

生体認証の導入、運用時には、照合精度、バックアップ用パスワードに注意する必要がある。

照合精度には、本人拒否率と他人受入率がある。これらは、互いに相反するものなので、どちらも0%にすることは不可能である。セキュリティの要求レベルによって、照合精度の設定が異なる。たとえば、照合精度の強度を上げすぎると本人が使用できないといったことも起こり得るため、実際に運用しながら照合精度を調節していくことが必要である。

生体認証の運用時に注意する点は、バックアップ用のパスワードである。認証に失敗したときのために、パスワードによっても認証が可能な場合がある。これは、セキュリティを考慮する上では次のような問題がある。