「備えあれば憂いなし」とは、サイバー意識を語る際のキーワードです。潜在的なサイバー脅威とリスクを知ることは、それらが発生したときに現状をを認識するため、また可能な限り回避するためにとても重要です。強力なパスワード、システムのアップデート、健全な懐疑心をなどのサイバー意識への積極的なアプローチは、複数のサイバー敵対者に対する強固な防御を構築するのに役立ちます。
残念なことに、多くの人はサイバー脅威が何であるか、あるいはリスクにさらされていることさえ認識しておらず、攻撃に対してより脆弱になっています。サイバー意識はオンラインの安全にとって不可欠です。潜在的な危険と身を守る方法について学ぶことは非常に重要であり、重要な情報の安全性を保つ上で大きな違いを生む可能性があります。
10月はサイバーセキュリティ啓発月間であり、サイバーセキュリティを当たり前のことにし、サイバー脅威への対応計画を作成または再評価するのに最適な時期です。
幸運は大胆な人に味方すると言われています。それはそうかもしれませんが、サイバーセキュリティに関しては、準備ができている人ほど有利であると言えます。準備の最初のステップは、サイバー空間の資産を保護できるように、今日のサイバー脅威を理解することです。
サイバー脅威の数と有効性が増大する中、オンラインの安全を保つ上でサイバー意識が最重要視されています。誰もが認識すべき脅威には、次のようなものがあります。
インサイダーの脅威も注意すべきリスクです。従業員、元従業員、業務関係者、請負業者が企業の重要なデータにアクセスし、意図的または無意識のうちに、データセキュリティを危険にさらし、データをサイバー犯罪者の手に渡してしまいます。サイバー犯罪者は、知的財産の窃盗から破壊工作、不当料金の要求まであらゆることにデータを利用します。
サイバー意識の向上がサイバー犯罪を解決するわけではありませんが、サイバーリスクを軽減するためには不可欠です。現在、ほとんどの企業がある程度のサイバー意識向上トレーニングを提供しています。しかしサイバー犯罪者は、人やシステムの脆弱性を悪用する新しい方法を編み出し続けているため、常に改善の余地があるのです。
新しい脅威を反映する頻度を考慮すると、サイバー意識向上戦略の開発は困難で時間もかかる作業です。ただし、サイバー攻撃による潜在的な損失を考えれば、その努力は十分に価値があります。
サイバー脅威やインシデント発生時の対応について従業員を教育・訓練することに加え、優れたサイバー意識向上プログラムは、組織の資産を安全に保つための積極的な責任感を従業員が感じられるような企業文化を促進することにもなります。また企業は、厳しい本人確認、アクセス制限、ネットワークトラフィックのマイクロセグメンテーションによってアクセス許可を厳格に実施するゼロトラストモデルを採用すべきです。
この投稿の執筆中に新たな脅威が明らかになり、企業が年間を通じてサイバーセキュリティを優先することがいかに重要であるかが浮き彫りになりました。2023年10月20日、サンフランシスコに本拠を置くID およびアクセス管理会社Okta Securityは、ハッカーが同社のID管理システムを使用して数は明らかにされていないものの複数の企業の資格情報を取得することに成功したと報告しました。
ユーザー認証ソリューションを専門とする企業への攻撃という点で、注目に値する事件でしょう。ハッカーは、ブラウザの問題のトラブルシューティングの要求に応じて、Oktaサポートにアップロードされた「HAR」または HTTP アーカイブ形式のファイルにアクセスし、盗んだ認証情報を使用してOktaのサポートケース管理システムにアクセスしました。サイバー犯罪者はシステムに侵入すると、Okta顧客がアップロードしたファイルを閲覧しました。この侵害事件に関して幸いだったのは、サポートケース管理システムが運用システムおよび Auth0/CIC ケース管理システムから分離されていたため、これらのシステムはインシデントの影響を受けなかったことです。
2023年10月21日、保険大手のアメリカンファミリー保険は、前週末に始まったサイバー攻撃を確認し、電話サービス、ビルへの接続、オンラインサービスなど、ITシステムの一部停止を余儀なくされました。従業員1万3000人、年間売上高140億ドルを超える同社は、重要なビジネス、ストレージシステム、顧客データ処理に対する侵害は今のところ検出されていないと発表しています。しかし、システムの停止は顧客、代理店、従業員に影響を及ぼし、ビジネスの損失や評価の低下につながる可能性のある状況です。どのような種類の侵害が発生したのかはまだ不明ですが、ランサムウェア攻撃の特徴が見られます。ランサムウェア攻撃の多くは、ネットワーク上の不審な活動を監視している従業員が少ない週末に発生します。
10月21日に報告された別の攻撃では、脅威アクターが、法執行機関が捜査中のユーザーに関するデータを要求するために使用するFacebook (Meta) とInstagramの警察ポータルへのアクセス (脅威アクターがアクセスと主張するもの) を販売すると犯行声明を出しています。一部の専門家は、ハッカーが請求している700ドルの料金は、このような貴重なアクセスに対して低すぎると主張し、この声明に懐疑的な見解を示しています。
このような攻撃は、本当であろうとなかろうと、個人、企業、その他の関係者が不審な活動に対して警戒を続けることがいかに重要であるかを浮き彫りにしています。実際の事例を取り入れた従業員への研修が始まっています。
たとえば、サイバー犯罪者は人気ブランドになりすましてユーザーを騙すことで有名です。最近の (そしておそらく現在も続いている) キャンペーンには、オープンソースのパスワードマネージャーであるKeePassの非常に騙されやすいGoogle広告などがあります。ユーザーがGoogleで「キーパス」を検索し、本物のように見えるリンクをクリックすると、クローキングサービスを介しておとりサイトにリダイレクトされます。KeePassをダウンロードしようとすると、悪意のある.msixが取得されます。インストーラーが抽出されると、データの盗難、重要な情報への不正アクセス、または感染したデバイスの完全なコントロールにつながる可能性があります。
従業員トレーニングがどのように脅威を軽減し、組織のサイバーセキュリティを向上させることができるかを見てみましょう。
サイバー意識に対する総合的なアプローチには、最新のセキュリティトレンド、サイバーセキュリティのベストプラクティス、悪意のあるリンクをクリックすることの危険性を知ることなどがあります。効果的なものにするには、回復力のあるインフラへの道を切り開く組織全体としての取り組みでなければなりません。
セキュリティ意識向上トレーニングでは、さまざまなツールやテクニックを使用して、チームメンバーが脅威を認識、報告、可能な限り回避できるように情報を提供し備えます。定期的な指導セッションは、従業員が以下の点を理解するのに役立ちます。
結局のところ、エンドユーザーがサイバー攻撃の最も一般的なソースである疑わしいリンクや詐欺メールを認識できなければ、高度なサイバーセキュリティツールにどれだけ投資しても意味がありません。
サイバーセキュリティ意識向上のヒントを伝えることで、従業員は無意識の共犯者からサイバー犯罪との戦いの最前線のディフェンダーに変わるのです。
企業のデジタルリソースを保護する責任はすべての従業員にあります。サイバー意識向上トレーニングでは、データセキュリティに重点を置き、重要なデータを安全に処理、共有、保存、廃棄する方法をユーザーに教える必要があります。問題に迅速に対処できるように、インシデント報告訓練も実施する必要があります。
リモートおよびハイブリッドの作業モデルでは、自宅、オフィス、またはユーザーがどこにいてもデータを保護する必要があるため、より重大な課題が生じます。安全でない公衆Wi-Fi ネットワークに接続しないこと、 VPNの重要性など、適切な知識ツールを使用すれば、リスクを大幅に軽減できます。
「ショルダーサーファー (盗み見) 」は、特に公共の場所で会社支給のラップトップやモバイルデバイスを使用する場合に特に危険です。従業員が離席中はデバイスをロックし、周囲に誰がいるかを認識し、重要な資料を安全に保管できるよう訓練する必要があります。
セキュリティインシデントは起こりますが、必ずしも壊滅的である必要はありません。インシデント対応計画とチーム制定は良いスタートです。ただし、チームメンバーは、自分の役割と、セキュリティインシデントが発生した場合に実行する手順も理解する必要があります。サイバー攻撃の際に誰に連絡し、どのように効果的にコミュニケーションをとるべきかを知り、状況を悪化させる可能性のある行動を避けるために、リスク軽減のトレーニングを受ける必要があります。
十分な訓練を受けた従業員がいれば、インシデントからの迅速な回復が可能になります。また過去のインシデントからの教訓を積み重ね、日常のオンライン活動においてよりセキュリティ意識を高めることができます。
サイバーセキュリティへの取り組みの範囲は企業のの規模と従業員の数によって異なりますが、サイバー意識に関するすべてのトレーニングにこれらのコースを含める必要があります。
最も高度なツールを導入したとしても、すべてのサイバー犯罪を回避できるかどうかは疑わしく、攻撃者はやはり簡単に目的を達成してしまいます。この現実は、企業が防御を強化し、サイバー意識向上の文化を育むためにさらに努力する必要があることを意味します。
よく訓練された従業員は、サイバーセキュリティの脅威やインシデントを大幅に軽減する鍵となり、組織をリスクにさらすデータ侵害の防止に重要な役割を果たします。最大限の保護を実現するには、企業はデータセキュリティを確保するためのサイバーセキュリティツールと人材にも投資する必要があります。
人工知能 (AI) や機械学習 (ML) などの高度なテクノロジーの活用により、企業がサイバー脅威から身を守る方法が変わりつつあります。こうしたテクノロジーを全体的なサイバーセキュリティプログラムの一部として統合すると、予測機能が強化され、脅威のリアルタイムの検出と対応が向上します。
企業では現在、これらのツールを次の目的で使用しています。
これらの高度なテクノロジーをサイバーセキュリティ戦略に統合する企業は、進化するサイバー脅威に対して、より包括的で適応性のあるプロアクティブな防御を実現しています。また、技術的な優位性も獲得しており、データ資産を保護する点で攻撃者よりも一歩先に立つことができます。
サイバー攻撃が増加傾向をたどる中、企業にとってサイバー意識は最優先事項でなければなりません。サイバーセキュリティ戦略を策定するときは、従業員がサイバー脅威を理解し、認識し、回避するのに役立つツールと技術に焦点を当てます。従業員は、企業が直面する日常的なリスクとそれが及ぼす可能性のある影響を徹底的に理解する必要があります。
ベリタスでレジリエンスを強化すると、サイバー攻撃からの保護、検出、回復に必要な強力な基盤を獲得することができ、大切なデータを保護し、ますます厳しさを増すデジタル環境で事業継続性が保証されます。
ベリタスのお客様のデータ保護への取り組み詳細については、ベリタストラストセンターをご覧ください。
今すぐご連絡ください。データバックアップソリューションで、確かな長期的な未来を手に入れましょう。
ベリタスのお客様は Fortune 100 企業の 95% を占めています。また、NetBackup™ は大量のデータの保護を検討している大企業にとって第一の選択肢です。
完全なデータ保護を仮想、物理、クラウド、およびレガシーの各ワークロードに対してベリタスの大企業向けデータ保護サービスがどのように維持しているかをご確認ください。