ビジネス データを保護するための 5 つのサイバーセキュリティのベスト プラクティス

公開: 2024-03-05

2022 年だけで、連邦捜査局はサイバー攻撃の被害を受けた米国企業から 800,944 件の苦情を受け取りました。

サイバー攻撃が増加しているのは事実ですが、ビジネスが攻撃の犠牲になる必要はありません。 それどころか、サイバー空間における多くのセキュリティ上の危険を防ぐためにサイバーセキュリティ対策を講じることによって、率先して行動することができます。

ここでは、ビジネス データを安全に保つために実装できる 5 つの重要なサイバーセキュリティのベスト プラクティスを紹介します。

1. 二要素認証を有効にする

2 要素認証 (「多要素認証」とも呼ばれます) は、サイバー脅威を防ぐために実装できる最も一般的なサイバーセキュリティのベスト プラクティスの 1 つです。 Microsoft や Google などの企業は、顧客のデータを安全に保つためにこれを使用しており、欧州連合の一般データ保護規則 (GDPR) などの法律によって推奨されています。

このシンプルなサイバーセキュリティ対策では、従業員にアカウントへのアクセスを許可する前に 2 番目の認証要素 (パスワード以外) の提供を要求することで、ビジネスのデータを保護できます。 追加の本人確認情報は次のとおりです。

  • ログインするたびに電話番号に送信される 6 桁のワンタイム パスワード
  • 生体認証(指紋、網膜スキャン、顔認識スキャンなど)
  • 従業員の声

2 要素認証を効果的にする品質は、それが提供する追加のセキュリティ層です。

導入前は、ユーザー名とパスワードはすべて、企業のデータにアクセスするために必要な悪意のある攻撃者でした。 たとえハッカーが従業員のユーザー名とパスワードを入手できたとしても、従業員の携帯電話や生体認証データがなければアカウントにアクセスすることはできません。

しかし、それだけではありません。2 要素認証は、リアルタイムで発生する不審なアクティビティを警告することもできます。 場合によっては、権限のないユーザーが認識されていないデバイスから資格情報を使用してログインしようとすると、従業員が電子メールを受信することがあります。 電子メールでは、サインイン試行を認識するかどうかを確認するよう求められる場合があります。 サインインを確認するには、Google から送信された次のサンプル メールを参照してください。

2FA の例 - Google

従業員が分散しており、従業員が企業ネットワーク外のデバイスからログインしている場合は、多要素認証の使用を検討してください。 このサイバーセキュリティ対策は実装が簡単で、サイバーセキュリティ予算に負担をかけることはありません。

2. 強力なパスワード ポリシーを適用する

サイバー犯罪者は、従業員のアカウントを侵害する際に、ソーシャル エンジニアリングやブルート フォース攻撃などのいくつかの手法を使用します。 パスワードが弱いと、成功の可能性が高まり、あなたのようなビジネスオーナーがセキュリティ侵害に遭遇する可能性が高くなります。

したがって、サイバーセキュリティの脅威からデータを安全に保つもう 1 つの方法は、職場で強力なパスワード ポリシーを強制することです。

強力なパスワード ポリシーを強制するには、従業員がアカウントのパスワードを設定するときに従う一連の基本ルールを作成することが含まれます。 一般的なルールには、アカウントごとに個別のパスワードを使用すること、文字 (大文字と小文字)、数字、記号の組み合わせを含む強力で長いパスワードを作成することが含まれる場合があります。

ちなみに、パスワードが強力であるとみなされるために満たす必要がある基準について従業員を教育する必要があります。 検索エンジンの巨人である Google は、強力なパスワードを設定する方法に関するヒントを提供しています。 次のことを行う必要があると書かれています。

  • 一意であること (従業員の個人アカウントに再利用されないこと)
  • 思い出に残る
  • 一般的なパターンを除外します(例:「1234」)
  • 個人情報(大切な人の誕生日など)を除外します。

上記の基準を満たすパスワードは、ビジネスの知的財産への不正アクセスに対する防御の第一線として機能する必要があります。 パスワードが解読されにくいことを確実に確認したい場合は、次の表を選択する際のガイドとして使用するように依頼してください。

パスワードの安全性に関する統計

出典: CDN

このサイバーセキュリティ戦略の欠点と利用可能な救済策に注意してください。

従業員に複雑なパスワードを使用させることの主な欠点は、従業員がそれを書き留めて作業スペースの近くに紙を保管する可能性があることです。 パスワードの保存と記憶を支援するパスワード マネージャーを導入することで、このような行為を阻止できます。 これらのツールは、従業員に 3 ~ 6 か月ごとにパスワードを変更することを義務付ける場合にも役立ちます。

3. データバックアップの作成

データを定期的にバックアップすることはビジネスの観点からは賢明ですが、サイバーセキュリティの最も賢明なベスト プラクティスの 1 つでもあります。 その理由は、ランサムウェア攻撃が発生した場合にデータのバックアップに頼ることができるためです。

ランサムウェア攻撃は、セキュリティ侵害時に犯罪者によって展開される最も一般的なサイバー攻撃の 1 つです。 これには、悪意のあるソフトウェア (ランサムウェア) を使用して企業コンピュータ上のファイルをハイジャックし、身代金を要求することが含まれます。 2022 年には、世界中で記録されたサイバー攻撃全体の 68% 近くでランサムウェアが使用されました。

サイバーセキュリティ ポリシーによって従業員がランサムウェアに陥るのを防ぐことが期待されますが、悪意のあるリンクを 1 回クリックするだけでセキュリティ インシデントが発生します。 時間管理の統計によると、従業員は平均して 1 時間と 40 分ごとにメールをチェックしています。 ランサムウェアの最も一般的な配信方法は電子メール フィッシングであることが判明しており、送信される電子メールは一見すると正規のもののように見えるため、攻撃が発生する可能性が高くなります。

従業員に送信されたフィッシングメールの例をご覧ください。

フィッシングメールの例

出典: 安価な SSL セキュリティ

フィッシングメールであると結論付ける唯一の方法は、メールを徹底的に調査することです。 電子メールの送信者はカンボジアに拠点を置く Damco であると思われることに注意してください。 ただし、送信者の電子メール アドレスのドメイン登録は中国 (.cn) で行われていました。 次に、Maersk Line ロゴの使用があります。 その会社は合法ではありますが、デンマークに拠点を置いています。

また、なぜカスタマー サービス担当者が輸出書類が含まれていると思われる電子メールを送信するのかを自問してください。

何の疑いも持たない従業員が上記のようなフィッシングメールをクリックした後、権限のないユーザーがデータにアクセスしたとします。 その場合、定期的なバックアップにより、ビジネスを通常どおり実行できるようになります。

ビジネス データをバックアップする方法については、3-2-1 ルールの使用を検討してください。 データのコピーを常に 3 つ用意してください。 2 つのバージョンを別々のストレージ デバイスにバックアップし、最終バージョンをオフサイトにバックアップします。

物理バックアップ デバイスの選択肢はたくさんあります。 外付けハード ドライブ (ソリッド ステートまたはハード ディスク ドライブのいずれでも) および USB フラッシュ ドライブが動作します。 ストレージ容量は 500 ギガバイトから 2 テラバイト以上までの範囲に及びます。 また、DVD や CD などの光学メディアは、より小さなファイルのバックアップを保存するのに役立ちます。

オフサイト ソリューションに関しては、クラウド ストレージが無敵です。 ビジネスのファイルをリモート サーバーに保存し、月額料金でインターネット接続を使用してファイルにアクセスできます。 Google Drive、OneDrive、Dropbox などのサービスが最も人気があります。

4. サイバーセキュリティについて従業員を訓練する

ネットワーク セキュリティについて従業員を教育することによって、セキュリティの脆弱性に対処することもできます。

初心者向けのセキュリティ認定を提供するプログラムやコースは、従業員の学習に役立ちます。 従業員は少な​​くとも、フィッシングメール、フィッシング詐欺、サイバー犯罪者が重要なシステムを侵害するために使用するその他の手口について学ぶことになります。 さらに、こうしたサイバーセキュリティ侵害が職場でどのように発生するのか、また悪意のある者がどのようにセキュリティのギャップを悪用するのかについても学びます。

さらに重要なことは、従業員は、自分の行動が知らず知らずのうちに悪意のある活動をどのように支援する可能性があるかを知る必要があります。 たとえば、サイバーセキュリティのトレーニングでは、プライベート ネットワークを通じて企業データにアクセスし、パブリック ネットワーク (コーヒー ショップの公衆 Wi-Fi ネットワークなど) の使用を避けることの重要性を強調できます。
サイバーセキュリティのトレーニングを事業運営に組み込むことが不可欠です。

時折メールを送信したり、奇数年ごとにトレーニング セッションを企画したりするのではなく、サイバーセキュリティの専門家を定期的に招待して従業員と話をすることを検討してください。

従業員の継続的な能力開発の一環としてサイバーセキュリティ コースへの参加を奨励することもできます。 サイバーセキュリティに対する意識が自分のキャリアの見通しに役立ち、すぐに就職できるスキルにつながると従業員が確信すると、学んだことを自分の中に取り入れて実践する傾向が高まる可能性があります。

テクノロジー企業を経営している場合は、AI を利用したサイバー攻撃に対する防御に人工知能がどのように役立つかを従業員に教えることを検討してください。

5. 定期的なサイバーセキュリティ監査の実施

定期的にサイバーセキュリティ監査を実施すると、ビジネスに対するセキュリティの脆弱性とサイバーセキュリティのリスクを特定するのに役立ちます。

サイバーセキュリティ監査には、ビジネスのセキュリティ ポリシーを評価し、脅威や改善の領域を発見することが含まれます。

監査では、ビジネスがサイバーセキュリティ規制に準拠しているかどうかを判断し、セキュリティ体制などを評価します。 より頻繁な監査では、ウイルス対策ソフトウェアの有効性 (つまり、最新であるかどうか) が調査されます。 プロセス中にサイバーセキュリティパートナーを変更することは珍しいことではありません。

実行できるサイバーセキュリティ監査には次の 2 種類があります。

  • 内部監査: 内部監査を行う場合、企業のサイバーセキュリティ担当者がチェックを行います。 このタイプの監査は中小企業では一般的です。
  • 外部監査: 外部監査では、会社に関係のない監査人がチェックを実施します。 大企業は通常、これらの監査タイプを選択します。

監査を実行する頻度はビジネスによって異なります。

たとえば、コンピュータ システムに機密情報を保存している場合、その安全性を確保するために頻繁に監査が必要になります。 監査がビジネスに支障をきたすかどうかも気になるかもしれません。

監査を実施する際に考慮すべき追加の要素は次のとおりです。

  • 範囲: 監査はどの程度包括的なものにしたいですか? ビジネスのサイバーセキュリティ体制の全体像を把握する必要がありますか、それともビジネスの特定の側面に焦点を当てる必要がありますか?
  • 脅威と対応:ビジネスに対する脅威を発見した場合、どのように対応しますか?

監査が完了すると、ビジネスがサイバー脅威からどの程度安全であるか (またはそうでない場合) がより明確に把握できるようになります。 脅威を発見した場合は、それらを無力化するための措置を講じることができます。

サイバーセキュリティのヒントに従ってビジネス データを保護する

ビジネス データを安全に保ちたい場合は、この記事で説明したサイバーセキュリティのベスト プラクティスを 2 つ以上実装する必要があります。 統計によれば、サイバー犯罪が将来的に急増する傾向にあることは明らかであり、企業は備えが必要であることを意味します。

要約すると、2 要素認証を有効にし、強力なパスワード ポリシーを強制することを検討してください。 データを定期的にバックアップし、サイバーセキュリティについて従業員をトレーニングして、人的ミスによって引き起こされるリスクを軽減します。 最後に、サイバーセキュリティ監査を定期的に実施して、サイバー脅威からのビジネスのセキュリティを常に最新の状態に保ちます。

ビジネスデータを攻撃者から保護できるサイバーセキュリティの専門家を見つけてください。 The Manifest でサイバーセキュリティ会社とつながりましょう