11中小企業のサイバーセキュリティのヒント

2020年3月23日

ヘッドラインを作っているのは大規模なデータ侵害ですが、中小企業も攻撃に対して脆弱です。これらの中小企業を標的とするサイバー犯罪者は、クレジットカード番号、社会保障番号、および利益のためにダークウェブで売られる可能性のあるその他の個人を特定できる情報を求めています。問題をより難しくするために、中小企業は企業組織よりもデータとネットワークのセキュリティに取り組むためのリソースが少ないですが、いくつかの基本的なレベルのサイバー衛生とセキュリティが整っているため、中小企業は攻撃のリスクを大幅に減らすことができます。 

いつものように、サイバーセキュリティの傾向について読む 、しかし、基本をスキップしないでください。ここでは、中小企業がサイバーリスクを削減するために今日できることの上位11項目のリストをまとめました。 

時間の経過とともに、「パスワード」は誤った名称になりました。これは本当に「パスフレーズ」と考える必要があります。単一の単語ではなく、「OneSpanprotectstheworldfr0mdigitalfraud!」などの短い文またはフレーズとしてパスワードを作成します。覚えるのは簡単ですが、はるかに強力なパスワードです。 

さらに、これは他のサイトで使用されていない一意のパスワードであることを従業員に思い出させてください。パスワードの最大の脆弱性の1つは、すべてのアカウントでパスワードを再利用する傾向があることです。つまり、ユーザーがアカウントを持っている会社が1つでも侵害された場合、その会社のリソースは脆弱になります。 

時間の経過とともに、「パスワード」は誤った名称になりました。これは本当に「パスフレーズ」と考える必要があります。単一の単語ではなく、「OneSpanprotectstheworldfr0mdigitalfraud!」などの短い文またはフレーズとしてパスワードを作成します。覚えるのは簡単ですが、はるかに強力なパスワードです。

  1. デバイスの暗号化を適用する 

    リモートでネットワークリソースにアクセスする場合、モバイルアプリのセキュリティ 、仮想プライベートネットワーク(VPN)を使用することは非常に重要です。VPNは、ネットワークからデバイスへの転送中にデータを暗号化します。つまり、サイバー犯罪者がデバイスへの転送中にデータを傍受した場合、暗号化されたデータのみを取得します。暗号化キーがなければ、判読できません。さらに、クライアント側とサーバー間の通信の安全なチャネルを確保する必要があります。 
  2. 支払いおよび取引情報に注意する 

    個人または企業として、クレジットカード情報を送信する前に、支払いシステムのセキュリティを確保することが重要です。銀行や処理業者と協力して、高度な不正防止ソリューションが使用されていることを確認してください。 

  3. 機械を清潔に保つ 

    クリーンとは、Webブラウザー、オペレーティングシステム、およびセキュリティソフトウェアを更新することを意味します。更新のたびにシステムをスキャンするようにウイルス対策プログラムを設定し、システムが可能な限り最新の状態を保つようにします。 

    これらの開発者がリリースする定期的な更新には、システムの既知の脆弱性を確認するためのコード修正が含まれています。これらの脆弱性は悪用されるまで発見されない場合があるため、デバイスを更新してこれらの脆弱性を迅速に閉じることが重要です。 

  4. モバイルデバイスのアクションプランを作成する 

    モバイルデバイスにより、ITセキュリティチームは困難な立場に置かれています。モバイルデバイスは今日のビジネスの世界では不可欠ですが、重大なセキュリティリスクをもたらす可能性があります。盗まれたり、ハッキングされたり、ユーザーが侵害されたアプリをダウンロードしたりする可能性があります。これらのリスクを軽減するには、モバイルデバイスのアクションプランを確立します。これらの計画には、従業員が使用する前にデバイスに適用する必要なセキュリティソリューションとポリシーのリストを作成することが含まれます。 

    次に、報告手順を作成して、ユーザーが紛失または盗難にあった機器を報告できるようにします。これにより、ITセキュリティチームは、リスクが発生したときにリスクに対応することができます。 

    また、次のポリシーの制定を検討してください。 

    • ジェイルブレイクまたはルート化されたデバイスを許可しない 

    • デバイスの暗号化を確保する 

    • 公式アプリマーケットプレイスからのアプリのダウンロードのみを許可する 

    • 従業員が会社のデバイスを使用することを許可されている方法を詳述する利用規定に署名するようにユーザーに依頼します。 

  5. データシステムへのアクセスを制限する 

    必要に応じて、さまざまなユーザーに権限を適用します。たとえば、CFOが企業ネットワークでのすべての財務情報にアクセスして会社での役割を果たす必要がありますが、受付係はそうする必要はありません。選択したユーザーのみが選択したリソースにアクセスできるようにすることで、サイバー攻撃者がユーザーのアカウントの1つをハイジャックした場合の潜在的な被害を制限します。そのユーザーが機密情報にアクセスできない場合、攻撃者もアクセスできません。 

  6. 強力なウイルス対策ソフトウェアを維持する 

    ウイルス対策ソフトウェアは、ファイアウォールと並んで、サイバーセキュリティ戦略の基本的なコンポーネントです。ウイルス対策ソフトウェアは、システム内の潜在的に悪意のあるファイルを探して内部データベースをスキャンします。このようなシステムがなければ、違反が発生した後にそれを特定することは非常に困難です。 

  7. 機密データの保護とバックアップ 

    サイバー攻撃の最も顕著な形式の1つは、ランサムウェア攻撃と呼ばれます。攻撃者が企業ネットワークに侵入した後、データベース全体を暗号化するコードをインストールします。次に、データを復号化するためのキーと引き換えに、会社に強要して金を支払うように強要します。通常、これらのオファーには時間制限があります。有効期限が切れると、データベース全体を消去します。さらに悪いことに、支払いを受け取った後、攻撃が復号化キーの提供を拒否することがあります。 

    これらのタイプの攻撃に対する最善の防御策は、強力で信頼性の高いバックアップ戦略です。テープ、ディスク、クラウドバックアップストレージのいずれを使用する場合でも、システムのバックアップをとることは不可欠です。 

    最後に、バックアップ環境にアクセスするためのさまざまな資格情報があることを確認します。これにより、サイバー攻撃によるバックアップへの侵入も防止されます。 

  8. 多要素認証を提供する 

    多要素認証企業のリソースにアクセスするには、ユーザーが2つ以上の認証ファクトを完了する必要があります。これらの認証要素は、あなたが知っているもの(パスワードなど)、持っているもの(ワンタイムパスワードや信頼できるデバイスなど)、およびあなたが持っているもの(指紋や顔のスキャンなど)の形をとることがあります。 

    多要素認証を活用することで、組織のセキュリティを大幅に向上させることができます。単一の認証形式を複製することは可能ですが、複数の異なる形式を要求することにより、詐欺の可能性が大幅に減少します。 

  9. 強力なパスワードを設定する 

    相対的に言えば、パスワードは最も安全性の低い認証形式です。パスワードが唯一のセキュリティ手段である場合は、2要素認証、多要素認証ソリューション、またはハードウェア認証システムを使用する 。そうは言っても、適切に構成されたパスワードは、弱いパスワードよりもはるかに効果的です。パスワードを作成するときは、次のガイドラインに従ってください。 

    • 10文字以上

    • 1つ以上の大文字 

    • 1+小文字 

    • 1+番号 

    • 1+特殊文字(!、@、#、$など) 

    時間の経過とともに、「パスワード」は誤った名称になりました。これは本当に「パスフレーズ」と考える必要があります。単一の単語ではなく、「OneSpanprotectstheworldfr0mdigitalfraud!」などの短い文またはフレーズとしてパスワードを作成します。覚えるのは簡単ですが、はるかに強力なパスワードです。

    さらに、これは他のサイトで使用されていない一意のパスワードであることを従業員に思い出させてください。パスワードの最大の脆弱性の1つは、すべてのアカウントでパスワードを再利用する傾向があることです。つまり、ユーザーがアカウントを持っている会社が1つでも侵害された場合、その会社のリソースは脆弱になります。

  10. サイバーセキュリティについて従業員を訓練する 

    セキュリティシステムの最も弱いリンクは人間のリンクです。サイバー犯罪者は高度なフィッシングおよびソーシャルエンジニアリングスキームを開発して、ユーザーをだまして機密のアカウント情報を手放し、侵害に至らせました。フィッシングの兆候が見られないか注意深く監視するよう、従業員を訓練し、習慣的に思い出させることが重要です。その他のセキュリティトレーニングトピックには、次のものが含まれます。 

    • 強力なパスワードを作成する

    • フィッシングメールを見つける 

    • 安全なブラウジングの実践 

    • 機密企業情報の保護 

    • 不審なダウンロードを拒否する 

    しかし、リマインダーと定期的なトレーニングだけではまだ十分ではありません。さらに、ランダムな非通知テストを実装する必要があります。フィッシングメールの従来の要素に従って、偽のフィッシングメールを従業員に送信します。次に、偽のメールをクリックした人を特定し、トレーニングコースを提供します。これは、トレーニング情報を最も必要とする従業員に配布するのに役立ちます。

  11. ネットワークファイアウォールを使用する 

    ファイアウォールは、外部ユーザーが企業ネットワークにアクセスしているときに企業データにアクセスできないようにするセキュリティプログラムのグループです。これはインターネットセキュリティの基本的なコンポーネントであり、あらゆるIT環境になくてはならないものです。ただし、ファイアウォール自体は、セキュリティシステムではありません。ここにリストされている他のセキュリティプラクティスでファイアウォールを補足する必要があります。 

サイバーセキュリティについてもっと読む

サイバーセキュリティ業界では、常に新しいものを読む必要があります。セキュリティ専門家とサイバー犯罪者の間で進行中の軍拡競争はますます激化しています。を購読する OneSpanブログ業界の最新情報や新しいトレンドに遅れないようにしてください。