企業にとってのサイバーセキュリティの最大の脅威 — そして自分を守る方法
近年、多くの組織のデジタルトランスフォーメーションと組み合わされたCovid-19によるリモートワークへの移行は、サイバー犯罪者に新しい機会を生み出しました。そのため、規模の大小を問わず、すべての企業が、サイバーセキュリティの脅威とWebサイトのセキュリティ問題を理解し、自らを保護するための対策を講じることができるようにすることが不可欠です。詳細については、以下をお読みください。
ビジネスサイバーセキュリティリスク #1:ランサムウェア
報告によると、2021年に世界中の企業の80%が何らかの形のランサムウェア攻撃を経験しました。ランサムウェアは、情報を暗号化してユーザーをコンピューターからロックしたり、データへのアクセスを制限したりするソフトウェアです。ユーザーはアクセスを復元するために特別なキーコードを入力する必要があり、ハッカーは身代金が支払われた場合にのみキーを提供します。最も悪意のあるランサムウェアは、身代金が支払われたとしても、すべてのユーザーデータを消去します。
多くの中小企業の経営者は、彼らが犯罪者にとってはるかに魅力的な企業クジラの海にいる小さな魚であると信じています。彼らは大規模組織に対する注目度の高いサイバー攻撃について読み、比較すると安全だと感じていますが、大企業はサイバー侵入者に対する保護を強化し、将来の攻撃に対する防御を強化する難しい方法を学びました。
その結果、サイバー犯罪者は、保護が最小限で、コンピューターからのデータ盗難を防ぐための知識が不足している中小企業を標的にすることが容易になります。パスワードはもちろん、銀行口座や住所、社会保障番号などの情報も盗まれる可能性があります。この情報を武器に、サイバー泥棒は資金を浪費し、身元を盗み、企業や政府に対してさえサイバー攻撃を仕掛けることができます。
企業がランサムウェアから身を守る方法
レイヤーセキュリティ対策:ランサムウェアのリスクを減らすには、サイバーセキュリティに多層的なアプローチをとります。これは、さまざまなセキュリティツールを相互に組み合わせて使用することを意味します。たとえば、すべてのデバイスで高品質のウイルス対策ソフトウェアを使用して最新の状態に保ち、ファイアウォールをインストールし、スパムフィルターとクラウドデータ損失防止を採用します。ツールを組み合わせて使用すると、1つに障害が発生しても、バックアップとして機能する他のツールが用意されます。
データをバックアップする:メインネットワークから切り離された、最新のシステムの完全なオフラインバックアップがビジネスにあることを確認してください。これにより、ビジネスが身代金に拘束されている場合でも、データにアクセスできます。バックアップを定期的にテストして、必要なときに動作することを確認します。
BYOD ポリシーを確認する:リモートワークへの移行に伴い、従業員は自分のラップトップやモバイルデバイスを使用して仕事をしたり、会社のネットワークにアクセスしたりすることがあります。これらのデバイスには適切なウイルス対策ソフトウェアやその他のセキュリティソフトウェアがインストールされていない可能性があるため、これにはリスクが伴います。スタッフが外出先で作業する場合、安全ではない公共のWi-Fiネットワークにアクセスする可能性があります。これに対処するには、会社が発行するデバイスへのネットワークアクセスを制限し、 従業員に仮想プライベートネットワーク(VPN)を介してネットワークにアクセスするように要求することができます。
ビジネスサイバーセキュリティリスク #2:フィッシング
フィッシングは、企業が直面するもう1つの重大なサイバー脅威です。フィッシングとは、ユーザー名、パスワード、クレジットカード情報などの機密情報を、本物のように見せかけた偽の電子メールや、場合によっては偽のWebサイトを介して取得しようとする試みを指します。従来、フィッシング詐欺は電子メールを介して実行されていました。しかし、近年、テキストメッセージ(スミッシング)や電話(ビッシング)によるフィッシング詐欺が増えています。
スピアフィッシングという用語は、特定の個人または企業を標的としたフィッシングの試みを指すために使用されます。サイバー犯罪者は、ソーシャルエンジニアリング技術を使用してメッセージをターゲットにパーソナライズし、既知の連絡先からの正当なメールであるかのように見せかけます。彼らは、ソーシャルメディアや会社のウェブサイトなど、さまざまなオンライン情報ソースを使用して、ターゲットのプロファイルを構築します。彼らは、銀行口座の詳細などを取得するために、顧客を装った企業に電話をかけることさえあります。
なりすましメールは、多くの場合、顧客の銀行口座への資金の支払いを要求して、企業のアカウントマネージャーに直接送信されます。電子メールには、銀行口座情報と資金移動の詳細が記載されています。疑いを持たないマネージャーは、サイバー犯罪者の銀行口座に数千ドルから数百万ドルの範囲の金額を送金しました。
企業がフィッシングから身を守る方法
デジタルフットプリントを考える:あなたのビジネスがオンラインで公開している情報、つまりデジタルフットプリントについて考えてください。また、これがスタッフをこの種の犯罪にさらす可能性について考えてみてください。たとえば、すべての上級スタッフのLinkedInプロフィール、メールアドレス、電話番号をにリストアップすると、フィッシングの標的になるリスクが高まります。( LinkedInのプライバシーの詳細について、こちらをご覧ください。)
メールフィルタを使う: メールフィルターだけでは、フィッシングメールを受信しないことを保証するものではありませんが、保護を強化します。メールプロバイダーはさまざまなスパムメールフィルターと迷惑メールフィルターを提供しているため、適切なプロバイダーを選択する前に市場を調査する価値があります。
ウイルス対策を使う:すべてのデバイスに包括的で最新のウイルス対策ソフトウェアをインストールしておくと、フィッシング攻撃やその他のさまざまなサイバー脅威からビジネスを保護するのに役立ちます。フィッシング対策機能を備えたウイルス対策ソフトウェアは、電子メールの添付ファイルをスキャンして、それらが危険であるかどうかを確認します。
警戒する:フィッシングの明らかな兆候に注意してください。たとえば、個人情報を更新するように求める銀行からのメールには、スペルミスや文法の誤りが含まれている可能性はほとんどありません。メールが緊急性を生み出そうとする場合(たとえば、アカウントがハッキングされ、すぐにリセットする必要があることを伝えるなど)、警告サインである可能性があります。メッセージに URL が含まれている場合は、URL の上にマウスを置いて、正しいページにつながっていることを確認します。また、URL に SSL 証明書があり、HTTPS で始まることを確認することも重要です。一般に、不明な送信者からメールを受信した場合は、その中に含まれる添付ファイルを開かないでください。
ビジネスサイバーセキュリティリスク #3:弱いパスワード
企業にとってのもう1つの重大なITセキュリティリスクは、従業員が脆弱で推測しやすいパスワードを使用していることです。脆弱なパスワードや推測しやすいパスワードを使用したり、複数のアカウントに同じパスワードを使用したりすると、機密データや財務情報が漏洩する可能性があります。 中小企業は、オンラインセキュリティリスクに対する認識が低いため、従業員が弱いパスワードを使用するリスクが特に高くなる可能性があります。企業のプロフェッショナルの 平均 19% は、簡単に推測できるパスワードを使用したり、アカウント間でパスワードを共有したりしています。翻译企業のプロフェッショナルの平均 19% は、簡単に推測できるパスワードを使用したり、アカウント間でパスワードを共有したりしています。
ハッカーは、個人や企業のITシステムに強制的にアクセスするために、何百万ものパスワードでいっぱいの辞書を適用するプログラムを作成します。これらはブルートフォース攻撃と呼ばれ、コンピューターに侵入する成功率が高くなります。ハッカーが1つのソフトウェアアプリケーションの鍵を見つけると、同じパスワードで他のアカウントにアクセスする可能性が高くなります。
企業が脆弱なパスワードから身を守る方法
強力で技術的に強制されたパスワードポリシーを導入する:強力なパスワードは、小文字、大文字、数字、特殊文字を組み合わせた15文字以上で構成されます。ハッカーはソーシャルメディアからこの情報を簡単に入手できるため、ユーザーは「12345」などの単純な番号シーケンスやパスワードの配偶者、子供、ペットの名前を避ける必要があります。一部の企業では、従業員に少なくとも 90 日ごとにログインパスワードの変更を義務付けています。
パスワードマネージャーを使う:従業員は、パスワードマネージャーを使用して、アプリケーションのログインページに貼り付けることができる長くて複雑なパスワードを生成および管理することを検討する必要があります。
多要素認証を有効にする:多要素認証(MFA)により、ユーザーはビジネスアカウントにアクセスするために単なるパスワード以上のものが必要になります。これには、モバイルデバイスにパスコードを送信するなど、追加の確認手順が含まれます。この追加のセキュリティ層は、たとえパスワードを正しく推測したとしても、攻撃者がビジネスアカウントにアクセスするのを防ぐのに役立ちます。
既定のパスワードを変更する:よくある間違いは、スマートフォン、ラップトップ、およびその他のタイプのIT機器の製造元のデフォルトパスワードを変更しないことです。デバイスをスタッフに配布する前に、 すべて のデフォルトパスワードを変更します。デバイスとソフトウェアを定期的にチェックして、変更されていないデフォルトパスワードを検出します。
ビジネスサイバーセキュリティリスク #4:モバイルデバイス
企業は、柔軟でリモートワークを可能にするために、スマートフォン、ラップトップ、タブレットをスタッフに提供することがよくあります。その結果、これまで以上に多くのデータがタブレットやスマートフォンに保存されています。これらのデバイスは従来のコンピューターと同様に強力であり、モバイルであるため、オフィスや家庭の安全性を確保するため、デスクトップ機器よりもさらに保護が必要です。しかし、多くの企業では、ほとんどのモバイルエンドポイントがフィッシング、マルウェア、モバイルOSエクスプロイトなどの脅威に対する保護をまだ備えていないため、サイバーセキュリティリスクの第1位となっています。
企業がモバイルデバイスを保護する方法
パスワード保護をオンにする:複雑なPINまたはパスワード を使用して、平均的な犯罪者があなたの電話にアクセスするのを防ぎます。現在、多くのデバイスには、デバイスをロックするための指紋認証または顔認識機能が搭載されており、パスワードへの依存を減らしています。これらの機能はデフォルトで常に有効になっているわけではないので、オンになっていることを確認してください。
紛失または盗難に遭ったデバイスを追跡、ロック、またはワイプできることを確認する:デバイスを紛失したり、従業員から盗まれたりした場合、デバイスを追跡するだけでなく、デバイス上のすべてのものをリモートで削除することもできるはずです。パスコードは泥棒をしばらくの間抑止できますが、貴重な情報をデバイスが見る前にデバイスから消去できると、リスクがなくなります。従業員が使用するすべてのモバイルデバイスでこの機能が有効になっていることを常に確認してください。
バックアップデータ:コンピュータデータを定期的にバックアップするのと同じように、会社のモバイルデバイスのデータもバックアップする必要があります。デバイスを紛失したり盗まれたりした場合、貴重なデータが安全であり、復元できることを知って安心できます。
デバイスとアプリを最新の状態に保つ:最新のセキュリティパッチの恩恵を受けるために、最新バージョンのソフトウェアとアプリがインストールされていることを確認してください。
モバイルセキュリティポリシーを作成する:従業員がモバイルデバイスで仕事を始める前に、法的規制に沿って許容される使用ポリシーを設定します。デバイスを紛失したり盗まれたりした場合の対処方法に関するガイダンスは、スタッフが対処方法を知っていることを意味し、うまくいけば速やかに行動することを意味します。従業員が仕事でモバイルデバイスを使い始める前に、ポリシーのコピーを読んで署名するよう従業員に依頼し、リスクと安全を確保する方法を認識していることを示します。
常にデータを暗号化する:ビジネス用携帯電話で暗号化を有効にすることは不可欠です。モバイルデバイスの暗号化は、携帯電話に保存されているデータを読み取り不可能な形式に変換することで機能します。電話のパスワード保護と同様に、ユーザーはデータを復号化するために暗号化 PIN またはパスワードを入力する必要があります。最近のスマートフォンには通常、ある程度のパスワード保護と暗号化が付いていますが、一部のスマートフォンは他のスマートフォンよりも安全です。たとえば、Android では、パスコードを作成するときに、オプションとして暗号化をオンにするように求められます。すべての物理デバイスで暗号化を有効にし、必要に応じてデータ暗号化ソフトウェアでこれをサポートします。
ビジネスサイバーセキュリティリスク #5:ヒューマンエラー
IBMによる2021年の調査によると、サイバー・セキュリティ侵害の95%がヒューマンエラーの原因となっています。言い換えれば、意図しない行動、または行動の欠如により、侵害が発生する可能性があります。これは、疑わしい電子メールの添付ファイルをクリックしたり、危険なWebサイトにアクセスしたり、脆弱なパスワードや複数のアカウントで同じパスワードを使用するなどの単純なエラーを意味することがよくあります(したがって、ヒューマンエラーはよくあるスレッドであるため、この記事で概説されている他のリスクとかなり重複しています)。本質的に、サイバー犯罪者は人間の弱さを食い物にします。
企業がヒューマンエラーから身を守る方法
トレーニングの提供:ほとんどのヒューマンエラーは、従業員がリスクを知らないことの結果です。ソーシャルエンジニアリングのリスクについて従業員を教育するなど、効果的なサイバーセキュリティ意識向上トレーニングを通じてヒューマンエラーを減らすことができます。目的は、ビジネスに対するサイバーセキュリティの脅威に対する認識を高め、適切なレベルのITエチケットを浸透させることです。スタッフのトレーニング、定期的な電子メールまたはイントラネットのニュースレター、または職場での導入コースがすべて役立ちます。
パスワードの負荷を軽減する:強力なパスワードポリシーが不可欠ですが、ここで人為的ミスを減らす最善の方法は、そもそもパスワードの数を減らすことです。これは、セキュリティを強化するために多要素認証をオンにしたパスワードマネージャーを使用し、指紋IDなどの生体認証を備えたデバイスに切り替えることで実現できます。
中小企業はオンラインセキュリティリスクに対して特に脆弱な場合があります
中小企業は、サイバーセキュリティの脅威に対して特に脆弱な場合があります。その原因は、
- 彼らはしばしば自分たちが標的にされるとは思わないので、準備ができていません。
- 彼らは古いシステムを持っているか、セキュリティプロトコルとトレーニングが不足している可能性があり、ハッキングが容易になります。
- 最新のITセキュリティリスクとWebサイトのセキュリティ問題を常に把握できる、大規模な専任のITチームがいる可能性は低いです。
ビジネスのサイバーセキュリティリスクを評価する
ビジネスに対するサイバーセキュリティの最大の脅威を評価するには、まず現在のセキュリティシステムの評価を実行することから始めます。すべてのソフトウェアとハードウェアを含む資産のインベントリリストを作成します。データが保存されている場所とアクセス権を持つユーザーのリストを生成します。この情報を安全かつ安全に保ち、閲覧できるユーザーを制限します。現在のセキュリティシステムの評価を実行して、脆弱性がどこにあるかを発見します。ビジネスリスク評価は、ビジネスの安全性を維持するのに役立ちます。
この記事で概説したヒントの他に、従うべきサイバーセキュリティ対策がさらに2つあります。
- サイバー攻撃の計画を立てる:万が一の場合に備えてください。攻撃を受けた場合、ビジネス、従業員、顧客を最大限に保護できるようにしたいと考えています。最悪の事態が発生した場合の対処方法を詳細に説明した計画を立ててください。
- ビジネスに対する最新のサイバー脅威について常に情報を入手してください:進化する最新のサイバーセキュリティ脅威について知ることは、常に先を行き、自分を守る最善の方法を考え出すのに役立ちます。
最後に、エンドポイントセキュリティは、ビジネスのサイバーセキュリティの脅威を管理する上で重要な側面です。エンドポイントとは、ラップトップ、デスクトップ、スマートフォン、プリンター、サーバーなど、ネットワークに接続されているデバイスを指します。エンドポイントセキュリティは、業務目的で使用されるエンドポイントをサイバーセキュリティの脅威から保護するプロセスです。クラウドベースのエンドポイントセキュリティソフトウェアは、管理に必要な社内リソースが少なく、事前のコミットメントが少なくて済み、継続的な監視とどこからでもエンドポイントを監視できるため、中小企業に最適です。
カスペルスキーのエンドポイントセキュリティ の対策について、こちらをご覧ください。
Kaspersky Endpoint Securityは、2021年に企業のエンドポイントセキュリティ製品の最高のパフォーマンス、保護、および使いやすさで3つの AV-TEST賞を受賞しました。すべてのテストで、Kaspersky Endpoint Securityは企業にとって優れたパフォーマンス、保護、および使いやすさを示しました。
関連記事やリンク
関連するカスペルスキー製品:
企業にとってのサイバーセキュリティの最大の脅威 — そして自分を守る方法
Kaspersky
