社員や会社のデータをリスクから保護することは、簡単な仕事ではありません。ハッカーによって次から次に新種のスキームが開発され、社員はその被害者になる可能性があります。そのような状況で、ここ数年間、サイバーセキュリティ担当者の雇用が>増加していることは当然と言えるでしょう。しかし、実際のところ、ほとんどの攻撃は技術的に大したものではありません。その代わりに、ハッカーは、ありがちなヒューマン エラーを悪用しています。このような背景を基に、社員にとってわかりやすく実践しやすい、セキュリティ上のヒントをまとめてみました。
1. 強力で固有のパスワードを必須にする
特殊文字や大文字を使うことでパスワードの強度は高まりますが、単純にパスワードを長くすることがパスワードのセキュリティを強化できる最も簡単な方法といえるでしょう。それでも、専門家は、固有のパスワードを使用することのほうがより重要であると述べています。あるアカウントが乗っ取られたとしても、その他のアカウントの安全性は保たれるからです。これらを実践するのに簡単な方法が、1Password や LastPass などのパスワード マネージャーを使用することです。このソリューションは、社員にとって便利なだけではなく、十分なセキュリティ機能を備えているので IT 管理者にとっても安心です。
→ ヒント:これらのパスワードの扱い方を個人用のアカウントでも適用するように社員を促しましょう。企業向けの攻撃の多くは、個人のパスワードやユーザー名を盗むところが起点になっているからです。
2. 2 要素認証を実施する
2 要素認証(2FA)も欠かせません。これはモバイル アプリと関係しています。パスワードが盗まれた場合でも、2FA がセーフティネットの役割を果たし、ハッカーによるアカウントへのアクセスを防ぐことができます。ただし、2FA には課題があります。その使用率が約 30 % であるということです。また、IT 部門の意思決定者のうち約 75 % においては、2FA を使用する社員から不満の声が寄せられているという事実もあります。2FA には、サインインするたびにコードの入力が必要になるものだけではなく、ボタンをタップするだけのものもあります。管理者の方は、社内で使用する 2FA のオプションを再確認してみてはいかがでしょうか。
→ ヒント:一部のサービスでは、Universal 2nd Factor(U2F)のセキュリティ キーも使用できます。この 2 要素認証の物理的な手法によって、フィッシング攻撃を防ぐことができます。
3. すべてのソフトウェアを強制的に更新する
セキュリティの専門家の中には、「ソフトウェアを常に最新の状態にしておくことが最も重要な予防手段」という人もいます。ただし、すべてのユーザーがバグ修正やセキュリティ パッチの重要性を理解しているわけではありません。社員のデバイスに更新されていないソフトウェアが存在する場合は、数日以内に IT チームがソフトウェアを強制的に更新することが理想的です。
→ ヒント:ソフトウェアの更新によって行われることをできるだけ具体的に説明すると社員への効果を期待できます。更新によって脆弱性が修正されることを説明すれば、更新のダウンロードに対する社員の関心が高まるでしょう。
4. フィッシングについて社員教育を行う
フィッシングとは、信頼できるサービスを装い、メールやウェブページを通じて個人情報を求めるというハッカーの手法です。すぐに見抜けられるものもあれば、巧妙に設計されているものもあります。この対策の第一歩は、社員がすぐにメールのリンクをクリックしたり、ウェブフォームを入力しないように習慣づけることです。
→ ヒント:既知のフィッシング行為とそれに対する正式な要求を記録し、すべての社員がその記録にアクセスできるように社内のリソースを割り当てることを考慮してみてはいかがでしょうか。
5. テキスト メッセージや電話での攻撃に気をつける
一部のソーシャル攻撃は、より具体的で、ターゲットが絞られているという性質があります。ハッカーは、社員に 2FA の認証コードをテキスト メッセージで求めたり、電話越しでカスタマー サポートの担当者を装ったりするかもしれません。この種の攻撃は、本当のセキュリティ リクエストのように偽装されているため、防ぎづらいことがあります。カスタマー サービス チームは抜け穴が悪用されないように手順を見直し、IT チームは不審な電話やメッセージについて報告するように社員を促してください。
→ ヒント:テキスト メッセージ認証はこのような攻撃につながるリスクがあるため、SMS ベースではなくアプリ ベースの 2FA の使用を検討しましょう。
6. 社員証をきちんと身につけて不正侵入を防ぐ
セキュリティのターゲットとして極めて容易で、また見落としがちなのがオフィスです。2FA で保護されているアカウントを解読することよりも、本社ビルに侵入することのほうが驚くほど簡単にできます。侵入で最も多いケースは共連れです。この迷惑なゲストは、正規の社員が通ったドアが閉まる前にそっと忍び込みます。知らない人が一緒に入ってこないよう、社員に少し慎重になるようにアドバイスするとよいかもしれません。また、社員証を確認できない方がいたら、社員証の提示を確認するように社員を促すこともできます。
→ ヒント:必要に応じて社員がゲスト用のバッジを発行できるようにすることで、社員証を持っていない人は弁解ができなくなります。
7. デバイスをスマートに使う
オフィスで席を離れる際には、パソコンをスリープ モードにすることを社員に指示しましょう。外出中は、重要な情報を読み取られないようにプライバシー フィルターを使用します。犯罪者だけではなく、好奇心旺盛な通りがかりの人でも、そのときの機会に応じて行動を起こしがちなものです。これらの予防手段によって、そもそも情報を読み取ろうという意欲が起きないようにする効果もあります。
→ ヒント:社員のデバイスのデータを遠隔削除できるようにしましょう。この機能を使用すると、デバイスを紛失してしまった場合でも、会社の情報を安全に保つことができます。
本記事に記載されているヒントはどれも簡単なことですが、これらをまとめて実践することで、環境は一変します。社員はこれらの習慣を身につけることで、たとえ技術的な知識がなくても、セキュリティ チームの業務を効率化し、会社の安全性も高まります。