小規模企業のサイバーセキュリティ–不正アクセスを招く8つのミス

今回は「小規模企業のサイバーセキュリティ–不正アクセスを招く8つのミス」についてご紹介します。

関連ワード (SMBの技術導入、特集・解説等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 小規模企業なら、サイバー攻撃について考える必要はないと思うかもしれない。サイバー犯罪者の標的は多額の利益が見込める大手だけなので、小さな会社は相手にしないだろう、と考えていないだろうか。

 残念なことに、小規模企業も、悪意あるハッカーやサイバー犯罪者にとって非常に魅力的な標的になり得る。なぜなら、個人情報やクレジットカード情報、パスワードなど、大企業と同種のデータを保有しているからだ。

 しかし、小規模企業の性質として、情報の保護が大規模企業ほど強固ではない場合がある。スタッフに情報セキュリティの専門家がいない場合はなおさらだ。

 小規模企業は、サプライチェーン攻撃の一環として、より大きな規模の企業への侵入を狙うハッカーの標的になることもある。攻撃者は、大企業のサプライヤーかもしれない小規模企業に侵入し、そのアクセス権を利用して、大規模なビジネスパートナーのネットワークに侵入を試みる場合がある。

 フィッシング、ランサムウェア、マルウェア、攻撃者がデータにアクセスして改ざんする他のあらゆる悪意ある活動など、小規模企業が被害に遭うサイバー攻撃がどんなものであれ、結果として生じる損害は壊滅的なものになり得る。サイバー攻撃で受けた損害のために、組織が恒久的な閉鎖を余儀なくされるケースもある。

 幸い、ビジネスと従業員のオンラインでの安全を守ることは可能だ。以下では、回避すべきサイバーセキュリティの基本的な落とし穴を紹介する。

 サイバー犯罪者が企業の電子メールアカウントやその他のアプリケーションに侵入するのに、高度なスキルは必要ない。侵入が成功してしまう理由は多くの場合、アカウント所有者が脆弱なパスワード、すなわち推測しやすいパスワードを使用していることだ。

 クラウドベースのオフィスアプリケーションやリモートワークへの移行には、サイバー犯罪者による攻撃の機会が増加するという影響もあった。

 パスワードをいくつも覚えるのは難しいので、単純なパスワードを複数のアカウントで使い回す人もいる。これをやると、アカウントやビジネスがサイバー攻撃に対して無防備になってしまう。特に危ないのは、サイバー犯罪者が総当たり攻撃を仕掛けて、よく使われるパスワードや単純なパスワードのリストを素早く試す場合だ。

 お気に入りのスポーツチームやペットの名前など、見つけやすい情報が入ったパスワードを使うのも絶対に避けてほしい。というのも、公開されているソーシャルメディアプロフィールから、そうした情報を入手できる場合があるからだ。

 英国家サイバーセキュリティセンター(NCSC)は、3つのランダムな単語で作成したパスワードを使うことを推奨している。この戦術によって、パスワードの推測が困難になるはずだ。

 パスワードはアカウントごとに異なるものを使用しなければならない。パスワードマネージャーを利用すれば、すべてのパスワードを記憶する必要がなくなる。

 強力なパスワードを設定しても、それが悪人の手に渡らないとは限らない。サイバー犯罪者は、フィッシング攻撃などの手口によってユーザーからログイン情報を盗もうとする。

 アカウントの侵害への防御を強化できるのが、多要素認証(MFA)だ。ユーザーはアラートに応答するように求められ(これには特別に設計されたMFAアプリケーションを使う場合が多い)、アカウントにログインしようとしているのが本人であることを確認する。

 この追加の防御層があれば、サイバー犯罪者は正しいパスワードを持っていても、アカウント所有者がアクセスを承認しない限り、そのアカウントを使用できない。自分のアカウントへのログイン試行があったという予期せぬアラートを受け取った場合は、ITチームやセキュリティチームに報告して、すぐにパスワードをリセットする必要がある。そうすれば、サイバー犯罪者は盗んだパスワードを悪用する試みを続けられなくなる。

 多要素認証は2要素認証(2FA)とも呼ばれ、その使用はサイバーセキュリティ関連の最も一般的なアドバイスの1つとなっているが、まだこの手法を使っていない企業が多い。こうした状況は変える必要がある。

 サイバー犯罪者がネットワークに侵入して動き回るために用いる最も一般的な手口の1つは、アプリケーションとソフトウェアのサイバーセキュリティ脆弱性の悪用だ。セキュリティ脆弱性が開示されると、OSの開発元は通常、それを修正するセキュリティアップデートをリリースする。

 セキュリティパッチによって脆弱性を修正することで、悪用を試みるサイバー犯罪者からシステムを保護できるが、それはアップデートを適用した場合に限られる。

 残念ながら、多くの企業はセキュリティパッチとアップデートの展開が遅く、ネットワークとシステムがハッカーに対して無防備な状態のままになっている。脆弱性にパッチを適用せずに何年も放置したせいで、簡単に防げたはずのサイバーインシデントのリスクに企業が(場合によっては顧客も)さらされることもある。

 したがって、小規模企業のサイバーセキュリティ向上においてカギとなる対策の1つは、重要なセキュリティアップデートを可能な限り早急に適用する戦略を立てることだ。

 このアプローチを実現するには、ソフトウェアアップデートが自動的に適用されるようにネットワークを設定してもいいし、ケースバイケースで処理することもできる。ただし、絶対に認識しておかなければならないのは、重大なセキュリティアップデートをできるだけ速やかに適用する必要があるという点だ。そのようなアップデートは、米サイバーセキュリティ・インフラセキュリティ庁(CISA)などのサイバーセキュリティ機関が詳細な情報を提供することが多い。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ポケモンのマンホールふた、国立科学博物館と東京国立博物館に設置 「よく似た作品が展示室の中にいるかも」
くらテク
2021-06-15 12:19
SAPジャパンとコンカーが本社移転、社員の42%が「フルリモート」希望
IT関連
2021-02-08 13:18
三井住友信託銀行、クアルトリクスのCX管理製品を採用–サーベイ実施・集計が数日に
IT関連
2022-02-26 09:37
自動運転システムに対する初のリコール、Pony.aiが同社ソフトのリコール発表へ
IT関連
2022-03-10 01:27
「大学入試 うんこ英単語2000」発売 「うんこがもれそうなので結論(conclusion)を」など、全例文に「うんこ」入り
くらテク
2021-06-02 22:12
TikTok、動画長さを60秒から3分に拡張 全員利用可能に
アプリ・Web
2021-07-03 12:36
「コロナ対策」偽り顔写真を要求 厚労省かたるフィッシングに注意
セキュリティ
2021-08-14 23:02
Apple純正の「MagSafeバッテリーパック」を試す (1/2 ページ)
IT関連
2021-07-21 20:39
日立とヴィーム、基幹システムのクラウド移行移動サービスを開始
IT関連
2021-05-31 04:31
アステラス製薬、「Adobe Experience Cloud」採用–医療関係者向け情報サイトを刷新
IT関連
2021-05-28 15:22
Appleのティム・クックCEO、東日本大震災から10年でコメント
IT関連
2021-03-12 04:45
甘い大学生のSNS管理 「リスク考えて」
IT関連
2021-05-13 02:54
似ているヘアカット写真を見つける画像認識AI 「Yahoo! BEAUTY」の新機能で活用
ロボット・AI
2021-02-16 17:22
ロシア制裁の報復としてサイバー攻撃のリスク高まる–クラウドストライクが警告
IT関連
2022-03-10 02:18