サイバードアを確実に施錠しましょう
「ドアを閉める」ということは安全な家のために必要な最初のルールです。しかし、サイバーセキュリティに関してはどうでしょうか。システムの入り口を悪意のあるユーザーに開放してしまっていませんか?
過去10年間で、データの重要性 (と、それを利用して何ができるか)が、新たな種類のサイバー犯罪を生み出しました。サイバー犯罪者たちは、もはや大規模な多国籍企業だけをターゲットにして金儲けをしようとはしていません。顧客データベースから開発中の新製品の計画まで、データを所有しているあらゆる企業がハッカーの標的になります。したがって、サイバーセキュリティは、現在、企業の規模に関わらず最優先の事項になっています。
脆弱性はシステムにとって逃れられないものであり、ネットワークにデバイスが追加されることは、悪用される可能性がある入口が追加されることを意味します。皮肉なことに、施設を保護するために防犯カメラを追加したとしても、それらが保守されないままサイバー攻撃から保護されないでいると、ネットワークが危険にさらされるリスクが余計に高まってしまいます。
新しい脆弱性は頻繁に発見されていますが、それが重大なリスクをもたらすかどうかは、2つの要因によって決まります。1つは脆弱性が容易に悪用されてしまう可能性、2つ目はその悪用がシステムの他の部分に与える影響です。建物の正面玄関の鍵のように、突破されるのが困難であればあるほど、リスクは少なくなります。
ただこれは、ひとつの解決策で何でも適応できるという意味ではありません。それぞれのビジネスニーズは、それぞれ異なるリスク分野と可能性のある「入口」を持つため、それぞれ異なってきます。決意を持ったハッカーが十分な時間と利用可能なリソースを持っていれば、どんなシステムであっても侵入に対する免疫があるとは言いきれなくなります。これと同様に、システムへの内部からのアクセスも管理しないと、システムが危険にさらされる可能性があります。サイバーセキュリティ計画を立てる際には、内部と外部の両方の脅威を考慮することが重要です。
ネットワークセキュリティに関してキーとなる考慮点
1. パスワード
パスワードが「キー」とも呼ばれるのには理由があります。それらは、最初の防衛線となることから、しなやかな強さがって頻繁に変更され、そして勝手に共有されていないことを確認する必要があるからです。皆さんも、正面玄関から自動車、金庫まで、すべて同じ鍵を使うことは有り得ないことと思います。それと同様に、皆さんはこれから出会うすべての知り合いのためにその鍵のコピーを作ることは無いでしょう。パスワードに関しても同じことが言えるのです。
サイバーセキュリティでは、この脅威は、「システムの偶発的または意図的な誤用」として説明されています。たとえば、もし皆さんが同僚や上司とパスワードを共有していると、それはシステムの中にある、閲覧を許可されていない部分にアクセスされる可能性があることを意味します。これは潜在的に危険な状況を生み出していると言えます。この解決策は、明確なパスワードポリシーとプロセスを整えて、会社の全員が確実に従うように徹底することにあります。
2. 旧式のシステム
システムが円滑に機能している場合に特に言えることですが、システムを常にアップデートする必要がないのではと思うことでしょう。アップデートは、いつも私たちにとって怖いものです。もしソフトウェアが完全に変更され、その使い方を説明するために何日も費やさなければならないとしたら、どうしますか?もし古いファイルを新しいバージョンのソフトウェアで読み込めなくなったとしたら?アップデートによって特定のソフトウェアが他のシステムとの互換性がなくなった場合はどうすればいいでしょう? このようなことから、仮にあるシステムの新しいバージョンが登場しても、いままでのバージョンを使い続けたいと考える方が多いのではないでしょうか。
システムが古ければ古いほど、サイバー犯罪者によって脆弱性が見つけられている可能性が高くなります。したがって、そうしたシステムが悪用される可能性が高くなると考えるべきです。ほとんどの脆弱性は、メーカーによる脆弱性のスキャンと侵入テストによって発見されています。ここでの解決策は、皆さんがお使いのシステムを定期的に更新することにあります。
3. 多すぎるデバイス
ドアや窓がたくさんある家は、少ない家よりも侵入しやすいと言えます。それは、ドアや窓がすべて、適切に閉じられていることを確認する必要があるからです。皆さんの会社のシステムについても同じことが言えます。 ネットワークに接続されているすべてのデバイス、すべてのアクセスポイントについて注意して確認する必要があります。それは、たった1つの脆弱なデバイスによって、すべてのデバイスが危険にさらされてしまうためです。
もし皆さんの勤め先のデバイスを会社として管理しているならば、おそらくそれらの全てに、共通の安全基準と手順が適用されているでしょう。もしこれが、従業員がリモートで作業しているとき、あるいは個人用のスマートフォンやタブレット、コンピュータを使用して作業しているときには、弱点を見つけるのがずっと難しくなってしまいます。繰り返しになってしまいますが、ここでの解決策は、会社全体にポリシーを適用することです。たとえば、個人用デバイスを使用して従業員がシステムにアクセスするには所定のセキュリティ基準を満たす場合のみ認められる、とった規則が挙げられます。
4. 訓練を受けていない人員
これは驚かれてしまうかもしれませんが、システムへの不正アクセスを得るために使われている方法として最も成功しているものの1つは、依然としてフィッシングメールなのです。フィッシングメールの多くはあからさまな手口で簡単に分かってしまいます。ですが、もし攻撃者がソーシャルエンジニアリングの手法を用いて皆さんの会社のことを調べ、会社の人しか知らないことを巧妙に偽装してきた場合、偽者だと見分けるのはかなり難しくなってしまいます。
そのため、社員一人ひとりがサイバーセキュリティのベストプラクティスについて訓練を受けていることが重要です。フィッシングメールであることの兆候を探して見つけ出すよう教えることはもちろん必要です。そして、疑わしいメッセージを転送する先のメールアドレスも用意することで、もし疑わしいメールだと思った場合でもスクリーニングを受けられるようになります。ヒューマンエラーを決して過小に評価してはいけません。
結論として、ある程度の意志と忍耐力、そして時間があれば、誰にでもシステムのハッキングができてしまうことを、いまいちど申し上げます。ただ、システムを保護するためのしっかりした対策を講じることで、仮にサイバー犯罪者がネットワークにアクセスしようとしても、時間とリソースの両方で高くついてしまうようにすることができます。
サイバーセキュリティの管理についてもっと知りたい方は、共有される責任に関するブログ記事もお読みください。