今月のサイバーセキュリティ月間でサイバーリスクを軽減するための5つの助言【メールセキュリティ】
2019年10月17日、Phil Muncaster
10月は米国のNCSAM(National CyberSecurity Awareness Month)およびEU(欧州連合)のECSM(European CyberSecurity Month)として知られています。この2つの取り組みはITが現代社会で果たす決定的な役割およびシステムを保護することの重要性を思い出す機会です。また、消費者と企業は本質的に関連しているため、この両方のベストプラクティスを推進することを目的としています。病院、銀行、小売業者、および水道/電気/ガス事業者が侵害を受けると、不可欠なサービスが中断する可能性があり、顧客に関する大量の個人データが盗み出されます。
WEF(世界経済フォーラム)が最近の発表で北米とヨーロッパの企業経営者はサイバーセキュリティをビジネス上の最大のリスクであると認識していると述べていることは意外ではありません。では、企業は拡大する脅威を防止するために長期的にどうすればよいでしょうか。
プレッシャーを受けている企業
現在、サイバー犯罪は、高度に専門家された「産業」になっており、推計によると、毎年、約1兆5000億ドルの「収益」をあげています。この「業界」が主導する地下経済はダークWebのフォーラムと市場、サイバー犯罪集団、および単独のサイバー犯罪者の広大なグローバルネットワークです。それぞれがこの経済で果たす役割は異なっており、ツールとas-a-Serviceが公開されているため、ITリテラシーも不要です。
#サイバー犯罪 は今日の一大産業であり、業界として年間1.5兆ドルの価値があります。 #NCSAM #CyberAware
このサイバー犯罪のグローバル経済が原因で、現在のサイバー攻撃は、ITセキュリティ部門が、情報を盗み出すマルウェアとバンキング型トロイの木馬からファイルレスマルウェア、フィッシング、BEC(ビジネスメール詐欺)、ランサムウェア、およびクリプトジャッキングまでのすべての問題に対処する必要があるほどに、進化および拡大しています。
同時に、企業はデジタル変革によって従来より迅速で顧客中心のサービスを提供しようとしています。攻撃サーフェスが十分に保護されていない可能性がある新しいクラウド、モバイル、ソーシャル、およびIoT(モノのインターネット)インフラストラクチャを含むほどに拡大しているため、企業は従来より高いリスクにさらされています。ハッカーはセキュアではないオンラインデータストアをスキャンし、データを盗み出し、ランサム(身代金)を要求することにますます巧妙化するため、クラウドの誤設定だけでも重大な問題になります。8月、ハッカーは、MongoDBインスタンスの漏洩を悪用して、チョイスホテルズチェーンから70万件の顧客データを盗み出したと主張しています。
リスクの増大
企業が努力によって築いてきた信用と繁栄がリスクにさらされています。現在、世界中のデータ侵害の損害は平均で390万ドル以上です。このようなリスクはIoT侵害によって増大しています。このため、物理的なプロセスが影響を受けて、システム運用が中断し、従業員と顧客が危険にさらされる可能性があります。
厄介な問題は、企業がこのような脅威に対処しようと苦悩していることです。保険会社であるGallagherの最近のレポートによると、昨年、140万の英国企業が大規模なサイバー攻撃によって合計88億ポンドの損害を受けています。回答した中小企業(23%)の4分の1(23%)は、ビジネスを行うことができないほどの危機が発生した場合は、1か月未満しか存続できないと述べています。このため、Gallagherは、57,000の英国の中小企業が、深刻なサイバー攻撃を受けた場合は、2019年に崩壊する可能性があると推計しています。
保険会社であるHiscoxのレポートによると、今年も警鐘が鳴らされています。ヨーロッパと米国では、サイバー攻撃の報告が、中小企業で33%から47%に、中堅企業で36%から63%に、対前年比で急増しています。
最近のレポートでは、ヨーロッパおよび米国の小規模企業および中規模企業で、#サイバー攻撃 が前年比で急増していることが明らかになりました。 #CyberAware #NSCAM
行動を起こすとき
中小企業が直面している難題はサイバー攻撃の増大するリスクを軽減してデジタル変革への取り組みの価値を維持する方法です。今年のECSMのテーマの一つは、共同責任としてのサイバーセキュリティであり、成功しようとしている中小企業が理解する必要があるメッセージです。セキュリティは次々と1回だけオンにすればよいチェックボックスのようなものではありません。終わりのない旅のようなものです。この旅を始める5つの方法は下記のとおりです。
- セキュリティ意識プログラムを向上する
従業員は企業の最大の弱点と呼ばれる場合が多いです。しかし、適切なトレーニングを受けると、優れた最初の「セキュリティレイヤ」になる可能性があります。フィッシングシミュレーションは、疑わしいメールを検出し、そのスコアについてフィードバックする従業員の能力をテストするための優れた方法です。
- セキュリティテクノロジの未来に目を向ける
セキュリティはサイバー犯罪者との終わりのない軍拡競争であるため、企業がサイバー犯罪者による最新の技術に対抗するツールを確実に導入していることが重要です。たとえば、AI(人工知能)はフィッシング攻撃の可能性がある疑わしいメールを従来より分析および検出できます。いつもどおり、管理オーバーヘッドとセキュリティ上の欠陥を削減するために、派手な売り込みを行うプロバイダに惑わされず、信頼可能なプロバイダを見つけて、1つのプラットフォームに統合することが重要です。
- ベストプラクティスに従う
この方法は非常に簡単なはずですが、企業は、クラウドの誤設定などの基本的なミスを犯した後で、セキュリティが不十分であることに気づく場合が非常に多いです。1億人の消費者に影響したキャピタル・ワンのデータ侵害はWebアプリケーションファイアウォールの誤設定、従業員への過度のアクセス権限の付与などのミスによると言われています。手始めはNIST(米国国立標準技術研究所)、ISF(Information Security Forum)などが策定したベストプラクティスフレームワークです。このようなフレームワークは機密データの暗号化、ネットワークの継続的な監視、リスクベースのパッチ管理、MFA(多要素認証)、定期的なバックアップなどを対象としています。
- セキュリティバイデザインを目指す
上記のとおり、フィッシングメールを検出する方法を従業員に教育するだけでは不十分です。ベストプラクティスセキュリティのフローは、トップダウンにする必要があります。この理由には、時間的余裕がない役員がBECとフィッシングを最も受けていることだけでなく、セキュリティへの多額の投資には役員による承認が必要であることもあります。GDPR(欧州連合一般データ保護規則)、NIS Directive(Directive on Security of Network and Information Systems)などの規制ではセキュリティバイデザインが要求されていますが、その実現は困難な可能性があり、時間がかかります。CISO(最高情報セキュリティ責任者)は、このような取り組みの推進で決定的な役割を果たすことができます。
- サプライチェーンを監視する
現在のほとんどの企業は複雑に関係するグローバルサプライヤの一部です。このようなパートナーと請負業者は、それ自体でセキュリティリスクです。GDPRには、データ侵害を受けた後は、サプライチェーンに責任を転嫁できなくなることが明記されています。つまり、セキュリティ部門が、パートナーを監査し、厳格なセキュリティ基準を契約に盛り込んで、従来より説明責任を負う必要があるということです。
2019 Email Security Trends(2019年のメールセキュリティトレンド)レポートを入手
製品のご紹介:Barracuda Total E-mail Protection
原文はこちら:
Five tips to reduce cyber risk this Cyber Security Month
October 17, 2019 Phil Muncaster
https://blog.barracuda.com/2019/10/17/five-tips-to-reduce-cyber-risk-this-cyber-security-month/