職場で活用できるサイバーセキュリティ対策とは？

 

最近、日本内でもランサムウェアやランサムDDoSなどのサイバーセキュリティ脅威が増しています。この間、専門家およびメディアはサイバー脅威の大半が、人々のミスによって起こると言及してきました。それは会社の規模を問わず、どの会社でもサイバー攻撃を受ける可能性があるということです。この事実に気づき、多くの会社がサイバーセキュリティの重要性を認識し始めたのです。会社でサイバーセキュリティはもはやCTOやCISOに限られた業務ではなく、会社にいる全職員に共通する業務なのです。以下は、会社組織のセキュリティ性を高める三つのチップです。

 

• 事実を伝える

 

事実を伝えるのは、当然なことで誰もがよく見逃がしやすいところですが、実際はセキュリティ性を高めることに当たって最も重要な段階の一つです。職場内職員たちのサイバーセキュリティーに対する認識向上は、ただセキュリティ脅威に関するメールやパンフレットを送って読ませることより、それ以上に具体的なことを職場内のみんなに知らせるべきです。例えば、大半の会社が一般的にコミュニケーション手段としてメールを使用していますが、その場合に全職員は、スパムメールの警告信号や警告対象を認識する方法を身につけなければならないです。その理由は、攻撃者は会社に接近する時、最もよく使われている方法の一つが、フィッシングメール内の悪意のあるリンクをクリックすることからです。

 

フィッシング類型の一つである「ホエーリング(whaling)」は、主に企業のCレベルの役員をターゲットにして攻撃が行われます。Cレベルの経営陣は、フィッシングが一般職員対象に行われる攻撃と考えて、油断してはいけません。従って全職員には、自分の職務に影響を及ぼすかもしれないサイバー攻撃種類、そして自分がその攻撃に対してすべきの役割と責任について知らせるのが大事です。教えてくれることが重要です。また他の例を挙げると、会社アカウントのソーシャルメディアが、2FA(2要素認証)のようなセキュリティ措置を実行しているのか、そしてHR部門が従業員記録の暗号化のように、敏感な会社の職員情報を処理する時、追加のセキュリティ措置を行っているのかを、チェックしてみるのはどうでしょう？職場でのサイバーセキュリティー措置がどのようにおこなわれているかを振り返えることは、情報セキュリティ認識を高めるのに役に立つと思います。

 

• 社内サイバーセキュリティ政策を立てる

 

サイバーセキュリティも、会社の状況に合わせて適用しなければなりません。例えば、ある会社はBYOD(Bring Your Own Device:個人装備を持ってきて使用すること)が、ビジネス運営の加速化と職員の生産性を高めるのに有用かもしれません。ですがこの場合には、敏感な会社データ漏洩を防ぐためには、職員のノートパソコンやモバイルデバイスにセキュリティ制御機能を設定しなければなりません。

 

その後、職員には会社の主要データ(会社の政策に関する機密データ、顧客情報など)を統制できないようにすべきです。もし職員が情報に対する接近および統制権を持つようになったら、サイバー攻撃者が職員の個人アカウントを奪取した時、会社の重要情報に手軽く接近できるからです。IT管理者は、定期的にセキュリティパッチをアップデートして、管理者権限が必要な特定応用プログラムには、基本的に設定されている使用者の名前と暗号を使用しないようにしなければなりません。

 

中小企業やスタートアップなら、サイバーセキュリティ政策が必要ないと考えるかも知れませんね。しかし、サイバー攻撃者は会社の規模を問わず攻撃を行います。ですので、中小企業動向によると、中小企業の60%はサイバー攻撃受けた場合、6カ月以内に事業を中断してしまうそうです。中小企業は最初からセキュリティ対策の準備を優先しなければなりません。「フォーチュン・グローバル500社」のうち、40%の企業がサイバー攻撃関連保険に加入されていますが、実はそのような保険は、行われるかも知れない潜在的なサイバー攻撃からの安全性を保障してくれません。サイバーセキュリティ政策は会社ごとに異なるため、セキュリティ政策の不在が事業に及ぼす影響を事前に把握して、セキュリティポリシーを用意および実行しなければなりません。

 

• サイバーセキュリティ政策やフレームワークを実現する

 

社内サイバーセキュリティ政策を樹立するのに困難を経験しているなら、もう心配する必要はないです。NIST(National Institute of Standard and Technology)は、サイバーセキュリティ政策を施行し始める時、ガイドラインを探す会社に良質の資料を提供します。このフレームワークは、関連業界と政府機関との協力を通じて開発されて、国家の重要インフラでサイバーセキュリティリスクを管理する組織を支援します。もちろん、全世界中の様々な類型の組織で広く採用されています。このフレームワークは以下のメカニズムを通じて細分化されて、組織がサイバーセキュリティ政策を樹立したり、現在の政策を検討するのに用立てます。

 

• 現在、社内のサイバーセキュリティに対する態度を記述してください。
• 特定のサイバーセキュリティ活動の目標を記述してください。
• 持続・反復可能なプロセスの脈絡上での改善方案を確認して、優先順位を付与してください。
• 目標状態になるために必要な進行事項を​​評価してください。
• サイバーセキュリティリスクについて、内部および外部の関係者たちとのコミュニケーションをとってください 。

 

規模に関係なく、全ての組織はサイバー攻撃に備えるため、セキュリティーに対する認識向上が必要です。健全なサイバーセキュリティ政策を立てるのは、思う以上に難しくないです。より多くの情報を得たい方は、National Cyber​​Security Allianceで提供する様々な資料を確認してください!

 

出典

• "Human error" contributes to nearly all cyber incidents, study finds- SC MEDIA

https://www.scmagazine.com/human-error-contributes-to-nearly-all-cyber -incidents -study-finds/article/538590/

• 6 Must-Know Cybersecurity Statistics for 2017- Barkly Blog

https://blog.barkly.com/cyber-security-statistics-2017

• CYBER SECURITY STATISTICS: Numbers Small Businesses Need to Know - Small Business TRENDS

https://smallbiztrends.com/2017/01/cyber-security-statistics-small-business.html

• Can startups disrupt the $20 billion cyber insurance market?

https://techcrunch.com/2016/05/23/can-startups-disrupt-the-20-billion-cyber-insurance-market/

• Framework for Improving Critical Infrastructure Cybersecurity

https://www.nist.gov/sites/default/files/documents////draft-cybersecurity-framework-v1.1-with-markup1.pdf

• National Cyber Security Awareness Month- Stay Safe Online

https://staysafeonline.org/ncsam/