サイバーセキュリティの脅威に対処する際、内部関係者の脅威が最前線に立ち、侵害の主な原因の1つとなっている。しかし、インサイダーの脅威は、インサイダーに悪意があることを意味しません。多くの場合、脅威は、フィッシング・メールに従った行動など、無意識のうちにユーザーがミスを犯し、それが侵害につながるというものです。Insider Data Breach Survey 2021によると、昨年94%の組織が内部関係者によるデータ漏洩を経験しており、84%が人為的ミスから直接データ漏洩に見舞われている。インサイダーの脅威は、フィッシング攻撃に引っかかるだけにとどまらない。2019 IBM X-Force Threats Intelligence Indexでは、不注意な内部関係者が組織を攻撃の隙にする最も一般的な2つの方法の1つとして、誤った設定のシステム、サーバー、クラウド環境を挙げている。ヒューマンエラーをなくすことはできませんが、明確なサイバーセキュリティ・ガイドラインと定期的な従業員トレーニングを提供することで、インシデントの頻度と深刻度を減らすことができます。
サイバーセキュリティ・インシデントにおける人為的ミスの役割を減らすための第一歩は、サイバーセキュリティ・ポリシーを定め、サイバーセキュリティの「やるべきこと」と「やってはいけないこと」を教える教育を従業員に提供することです。以下は、ポリシーに盛り込むべき10項目のリストである。
1.サイバーセキュリティの重要性を強調する
まず、なぜサイバーセキュリティが重要なのか、そしてどのような潜在的リスクがあるのかを説明することから始めましょう。盗まれた顧客データや従業員データは、関係者に深刻な影響を与えるだけでなく、会社を危険にさらす可能性があります。従業員がセキュリティ・インシデントの報告先をすぐに見つけられるようにすることが不可欠です。どの社内サイトを検索すれば連絡先が分かるかをユーザーが覚えていることに頼るのではなく、直感的に分かる場所にあることを確認してください。付箋に書かれたパスワードを、インシデントを報告するために必要な情報に置き換えることもできる!
2.効果的なパスワード管理を教える
パスワードは企業のサイバーセキュリティ・システムを左右する。パスワード要件に関するガイドラインを含める。NIST Special Publication 800-63 Revision 3には、推奨されるパスワード・ガイドラインの大幅な変更が含まれています。異なるサイトで同じパスワードを使用してはならないことを従業員に強調する。実際に使用する。従業員が複数のパスワードを覚えておくことが予想される場合、その苦痛を軽減するために必要なツールを提供する。パスワード・マネージャーは重要な価値がある。多要素認証は、たとえそれがパスワード・マネージャーのマスター・パスワードであったとしても、漏洩したパスワードの影響を減少させる。
3.詐欺の見分け方とベストプラクティスの採用方法を従業員に教える
様々な種類のフィッシング・メールや詐欺について、また怪しいものを見分ける方法について従業員を教育する。従業員は、他の従業員から送信された社内メールのように見えても、通常とは異なるメールを受信した場合、添付ファイルを開いたりリンクをクリックしたりする前に、まず送信者に確認する必要があります。電話や直接会って送信者に確認するのがベストです。メールアカウントが乗っ取られる場合、メールに記載された情報の正当性についての問い合わせに攻撃者が返信していることが多い。可能な限り、メールに記載されているリンクをクリックするのではなく、企業のウェブサイトにアクセスしましょう。例えば、LinkedInからのメールにリンクがある場合、www.linkedin.comと入力し、自分のアカウントにログインしてメッセージを見る。
さらに、ファイルやデバイスを保護するためのベストプラクティスに関する一般的なサイバーセキュリティの知識を提供することは、組織の防御を強化するのに役立ちます。OPSWAT アカデミーでは、これらのベストプラクティスに関する無料コースを提供しており、OPSWAT- 特定のテクノロジーについて詳しく学びたい方はどなたでもご利用いただけます。
4.アップデートとパッチの適用
最新のオペレーティングシステム、マルウェア対策プログラム、ウェブブラウザ、その他のアプリケーションは、定期的にアップデートされますが、すべてのプログラムがアップデートされるわけではありません。従業員が未承認のソフトウェアをインストールした場合、IT 部門は、資産上のパッチが適用されていない脆弱なアプリケーションに気づかない可能性があります。オペレーティングシステムとアプリケーションが最新のパッチおよびバージョンレベルにあることを確認することは、IT 部門の責任である。エンドポイントやサーバーの状態を確認しないことは、システムの設定ミスなどによる意図しない内部脅威の領域に入る。定期的な脆弱性スキャン、システム監査を実施しなければならない。
5.個人情報の保護
攻撃者は多くの場合、クレジットカード・データ、顧客名、Eメールアドレス、社会保障番号などの機密データを狙っています。このような情報を社外に送信する場合、単に電子メールで情報を送信することはできないと従業員に理解させることが重要です。情報を暗号化し、許可された受信者のみがアクセスできる安全なファイル転送システムを使用しなければならない。OPSWAT「DLP」のようなテクノロジーは、クレジットカード番号や社会保障番号など、ファイルや電子メールに含まれる機密性の高いデータを検出してブロックすることで、潜在的なデータ漏洩や規制コンプライアンス違反を防ぐことができます。
6.コンピュータとデバイスをロックする
従業員がデスクを離れるときは、不正アクセスを防ぐため、画面をロックするか、ログアウトしなければならない。自分のコンピュータをロックするのは従業員の責任であるが、IT 部門は、フェイルセーフとして非アクティブ時のタイムアウトを設定すべきである。ノートパソコンも、使用しないときは物理的にロックしなければならない。
7.Secure ポータブルMedia
mobile 携帯電話の紛失や盗難は、所有者とその連絡先にとって大きな脅威となる。これらのデバイスの画面ロックの使用は不可欠である。外付けのMicroSDカードやノートパソコンのハードディスクなどのストレージは暗号化する必要がある。USB ドライブや DVD などのポータブルメディアを持ち込む場合は、職場のコンピュータやネットワークなどのリソースにアクセスする前に、これらのデバイスにマルウェアがないかスキャンすることが重要です。OPSWAT MetaDefender Kiosk は、ポータブルメディアのセキュリティを確認するための簡単なソリューションを提供します。
8.デバイスの紛失または盗難の報告
盗難に遭ったデバイスは、攻撃者が機密データにアクセスするための入り口となる可能性があること、また、紛失または盗難に遭ったデバイスは直ちに報告する必要があることを従業員に伝える。多くの場合、IT 部門がリモートでデバイスをワイプできるため、早期発見が大きな違いとなります。
9.積極的な役割を果たす
従業員は常識を働かせ、セキュリティに積極的な役割を果たす必要があることを説明する。不審な行動を見かけたら、IT の管理者に報告しなければならない。エラーの発生後であっても、従業員がエラーに気づいた場合は、IT に報告することで、被害を軽減するための措置を講じることができる。サイバーセキュリティは会社の全員に関わる問題であり、従業員一人ひとりが会社のセキュリティに貢献するために積極的な役割を果たす必要がある。従業員がエラーを報告することで職を失うことを恐れていれば、エラーを報告する可能性は低くなります。従業員が安心してインシデントを報告できるようにしましょう。
10.プライバシー設定を適用する
従業員には、フェイスブックやツイッターなどのソーシャルメディア・アカウントのプライバシー設定を最大限に適用することを強く推奨することを伝える。生年月日や居住地などの個人情報は、自分の連絡先にしか見られないようにするよう従業員に求める。オンライン上に公開される個人情報を制限することで、スピアフィッシング攻撃の効果を減らすことができる。LinkedInの連絡先から少しでも不審なものが送られてきたら、特に注意してください。LinkedInの連絡先のアカウントが侵害されると、最も巧妙なソーシャルエンジニアリング攻撃が可能になります。
新入社員のオリエンテーションには、サイバーセキュリティポリシーの文書化と指導を含める。定期的にサイバーセキュリティ・トレーニングを実施し、従業員がセキュリティ・ポリシーを理解し、忘れないようにする。従業員がポリシーを理解していることを確認するための楽しい方法として、例示的な状況での行動をテストするクイズを用意する。
従業員への周知とトレーニングに加え、企業はコンピュータやデバイスを監視・管理するシステムの導入、マルウェア対策マルチスキャンによるサーバー、電子メールの添付ファイル、ウェブトラフィック、ポータブルメディアの安全性の確保、従業員が機密ファイルを安全に転送できるようにする必要があります。オフィスや自宅での安全なアクセスを確保するために企業が講じることができるその他の対策については、こちらをご覧ください。
OPSWAT がお客様の重要なインフラストラクチャの保護にどのように役立つかの詳細については、当社のサイバーセキュリティ・エキスパートとのミーティングをご予約ください。
