企業のセキュリティを強化する5つの方法 - TechRepublic

CIO は 2018 年にサイバーセキュリティを最重要目標に挙げ、サイバーセキュリティは 2019 年も引き続き重要な優先事項となっています。

トラベラーズ保険は、1件のセキュリティ侵害で100万ドルを超える損失を補償したという興味深い統計を発表しました。トラベラーズ保険が挙げる上位5つのサイバーセキュリティリスクカテゴリーは以下のとおりです。

• 人為的ミス（ノートパソコンやスマートフォンの盗難など）
• ハッキング;
• スピアフィッシング（従業員を狙ったソーシャルエンジニアリングとも呼ばれる）、恐喝、
• 社会的および政治的な「ハクティビスト」。

参照: 情報セキュリティポリシーテンプレートのダウンロード (Tech Pro Research)

トラベラーズによると、これらの侵害の1件に対処し修復するための平均総費用は数百万ドルに上ります。これは多額の金額であり、賠償責任保険料の増額から始まり、損害軽減、ブランドダメージ軽減などへと発展していきます。

最も興味深いのは、これら5つのリスクカテゴリーのうち3つが従業員中心であるということです。例えば、携帯電話やノートパソコンを紛失したり置き忘れたり、一見無害そうなメールを開いて会社のシステムを乗っ取ったり、会社に腹を立てて重要なファイルを盗み出し、盗んだファイルと引き換えに会社から金銭を脅し取ろうとしたりする従業員がこれに該当します。

人事担当者や新入社員のスクリーニング以外では、どの従業員が悪意のある行動を取る可能性が高いかを把握することは必ずしも不可能ですが、企業が従業員のセキュリティ意識全体を高めるために実行できる対策はいくつかあります。以下に、セキュリティ強化のための5つの方法をご紹介します。

1. 従業員を慎重に解雇する

従業員が休職または解雇された場合は、直ちにその従業員をすべてのシステム、ネットワーク、および建物のアクセスポイントから切断し、支給されたすべてのモバイルデバイス／ラップトップを回収してください。その後、従業員を退社させてください。このような対応は他の従業員には冷淡に思えるかもしれませんが、今日の高度に機密性の高い環境では、多くの場合、必要なことです。

2. ゼロトラストネットワークをインストールする

ゼロトラストネットワークを導入すると、シャドーIT（およびその他のあらゆるIT資産）を監視できます。ゼロトラストネットワークでは、ネットワークアクセスを許可されたユーザーのみがアクセスを許可されます。つまり、エンドユーザーがアプリケーションの起動を高速化するためにIT（およびITセキュリティ）を回避した場合、ネットワーク接続を試行した際に企業のITデータやリソースへのアクセスが拒否されます。ゼロトラストネットワークはセキュリティを強化する優れた方法であり、異常なアクセス試行や異常なネットワーク使用パターンを容易に追跡・追跡できます。

参照：サイバーセキュリティ戦略調査：一般的な戦術、実装上の問題、および有効性（Tech Pro Research）

3. BYODデバイスへの情報転送を制限する

BYODデバイスは自宅と職場の両方で使用されるため、紛失、置き忘れ、不正使用されやすいという問題があります。適切なアプローチとしては、モバイルアクセスを可能にし、企業データはクラウドのみに保存することが挙げられます。

4. パスワードの共有を控える

パスワード共有というセキュリティ上の失態は古くからあるものの、今でも発生しています。管理者だけでなくIT部門も、ユーザーにパスワードを決して共有しないよう定期的に注意喚起する必要があります。

5. セキュリティを最優先にする

あるテクノロジー企業は、従業員が閲覧できるよう、カフェテリアにセキュリティ情報キオスクを設置しました。この取り組みは、セキュリティとデータプライバシーが企業にとって最優先事項であり、全員が共有する文化的価値観であることを期待しているというメッセージを従業員に送りました。

こちらもご覧ください

• チートシート：サイバーセキュリティのプロになる方法
• フィッシング攻撃：ITプロフェッショナル向けガイド
• オンラインセキュリティ101：ハッカーやスパイからプライバシーを守るためのヒント
• 2018年のベストパスワードマネージャー
• サイバーセキュリティとサイバー戦争：さらに必読の記事