私たちはデータ違反やサイバー犯罪が個人に悪影響を及ぼしていることを耳にしていますが、組織についてはどうでしょうか? 製造企業から政府機関に至るすべての業界が、リスクにさらされています。 私たちは、この休暇シーズンにお客様のサイバーセキュリティ リスクを軽減する方法を検討します。
IBM に代わって Ponemon Institute が行った 最新調査のレポートによると、77% の組織が、サイバーセキュリティ関連の事件が発生した際に社内全体で一貫して適用される対応措置を用意していません。 偶発的にしろ意図的にしろ従業員の対応が、この休暇シーズン中に組織全体を悪化させることさえあるのです。
休暇シーズン中に組織によく起きるリスクのトップ項目
就業時間中のホリデー ショッピング
Morphisec 社の Holiday Impact on Enterprise Security Survey (休暇がもたらす企業のセキュリティへの影響に関する調査) によると、従業員のほぼ半数が、会社から支給された PC やモバイル端末を使って、オンライン ショッピングや贈り物の検索をしています。
ということは、従業員らは買い物リストから項目を消しながら、フィッシングやランサムウェア、クレジットカードの不正の標的を探しているサイバー犯罪者による危険に組織をさらしているわけです。
(安全でない可能性のある) モノのインターネット
モノのインターネット (IoT) で使用する端末が危険にさらされているというニュースは数多くあります。 今年はじめ、Google は赤ちゃんの部屋をのぞいていたハッカーや、カメラのマイクを通して別世帯のリビングルームで悪態をついた人がいたなどと Google Next のカメラを使った盗聴行為に 警告を発しました。
組織も今やコネクト技術を用いてサプライチェーン全体の製品追跡や、リモートによる職場環境等の監視、さらにはコーヒー抽出といったことさえできてしまうのです。 ことを複雑にするのは、IoT がもたらすギフトを職場に持ち込む従業員なのです。形態はフィットネス記録のトラッカーやゲームなど様々です。
高まるリスクがある一方で、 たった 9% 程度の会社しか、組織内でこうした IoT の端末が生み出す危険について従業員やサードパーティーに伝えて教育していません。
「たった一人、悪い人がネットワーク権限のある一時的なユーザーアカウントにアクセスできてしまうことで、深刻な損害を引き起こすおそれがあります。」
通年のアクセス権限がある (季節的) 臨時従業員
多くの組織が (季節的) 臨時従業員を雇い、忙しい時期の製品・サービスの納品や完了を行っています。 しかし、こうした短期従業員が就業期間を終えて離れた後に、データを適切に管理していなければ、大きなセキュリティリスクを引き起こすおそれがあります。
大企業は何千というユーザーアカウントを有し、あらゆる種類の許可や権限を付与しており、これが有効期間中のアクセス管理を難しくしています。 たった一人、悪い人がネットワーク権限のある一時的なユーザーアカウントにアクセスできてしまうことで、深刻な損害を引き起こすおそれがあります。 もしくは、従業員が非常に重要なデータを盗んだり、会社を退職した後になって秘密情報やシステムにアクセスしたりといったことをすることもあり得ます。
高まるサードパーティーリスク
多くの会社組織が、休暇中にベンダーやサードパーティーを頼り、機密データを危険にさらしています。 複数のサードパーティー ベンダーを利用している場合は、従業員がミスを起こしてしまう可能性は著しく大きくなります。 CompTIA の International Trends in Cybersecurity research (サイバーセキュリティにおける国際的なトレンドの調査) では、52% の調査回答企業がサイバーセキュリティの問題は人為的要因により起きていると感じていることが分かっています。
2017 年に、グローバル ロジスティクス企業の Maersk と FedEx は NotPetya サイバー攻撃により社内の機能が麻痺してしまい、何億ドルもの損失を出してしまいました。 コンピューターがウイルスに感染してしまい、ファイルへのアクセスを復元するために Bitcoin での身代金要求を受けたのです。 この攻撃により、ウクライナ、ロシア、デンマーク、英国、米国にわたって、何億ドルもの損害を出すことになりました。
休暇シーズン中のサイバーセキュリティのリスクを防止する方策
セキュリティの問題をすべては回避できないとしても、積極的に対応策を講じることで、休暇シーズン中に会社を襲うデータ漏洩やサイバー攻撃のリスクを減らせます。 それが次のような方法です。
- 従業員に、セキュリティへの意識を高める研修を行う (評価アンケートも、スタッフの教育管理に便利なツールです)
- 会社を退職している従業員のユーザーアカウントを即座に停止する
- 企業リスクの検出、評価、対処、監視を行う RiskBond といったソフトウェアを使用する
- サードパーティー リスクマネジメントを通じて、人為的ミスを減らす
当然、サイバーセキュリティは季節仕事ではありません。 ですが休暇シーズン中に一層の注意喚起を行うことで、事故を未然に防ぎ、無事に新年を迎えられることでしょう。
eBook:
サードパーティ リスクマネジメントの基本
本 eBook では次の点について検討します。
- サードパーティ リスクマネジメントの基本。
- TPRM と業者リスクマネジメントの違い。
- 組織に最適なリスクマネジメント フレームワークを選定するプロセス。