サイバー攻撃から企業を守るための実践的なヒント

ベライゾン社によると、2020年には中小企業がサイバー攻撃の43％の標的となり、その平均被害額は18万4,000米ドルにのぼったという。シンガポールだけでも、中小企業を狙ったフィッシング攻撃が60％増加し、場合によっては壊滅的な被害を受けた。さらに中小企業の60％が重大な攻撃を受けてから6カ月以内に倒産するという報告もある。

アジア太平洋地域はサイバー犯罪の理想的な温床だ。サイバーセキュリティに関する考察、政策的準備、制度的監督が一般的に不足していることに加え、デジタル接続性の高さ、国境を越えた大量のデータ転送、発展途上の規制などがアジア企業の脆弱性を飛躍的に高めている。

カーニー社の保守的な試算では、アジア地域の企業が7,500億米ドル以上の損失を被るリスクを回避するためには、このような弱点にできるだけ早く対処する必要があると示す。

中小企業やスタートアップ企業は、その規模や重要性からサイバー攻撃の標的にならないと思われがちだが、それは神話だ。中小企業を保護する最善の方法は「不明瞭さによるセキュリティ」といったよくある誤解を避けることにある。ほとんどのハッカーは、最大手の企業ではなく、サイバードアが開いている最も脆弱な企業を狙う。

このような状況下では、あらゆる規模や業種の組織がサイバーインシデントから身を守り、ハッカーが何とかして脆弱性を見つけて悪用する前に、脆弱性を認識して防御することが不可欠だ。

識別、保護、検知

米国標準技術研究所（NIST）のフレームワークは、組織の利害関係者がビジネスドライバーを利用してサイバーセキュリティリスクを管理・低減する方法についてアドバイスしている。サイバーセキュリティの脅威を特定し、デジタルインフラを保護し、悪意のある活動が発生したときにそれを検知することは、サイバー攻撃から企業を守るという点で非常に有効だ。

これは、侵害評価、よく練られたインシデント対応計画とプレイブック、その他の形態の脆弱性管理など、従来のサイバー防御技術を組み合わせて行うことができる。

また、攻撃者に利用される可能性のある開かれたデジタルドアを保護するには、適切なサイバー衛生が重要だ。サイバーセキュリティを向上させるための第一歩として、まずは身近なところから始めてみてはいかがだろうか。

関連記事：マレーシアが世界のサイバーセキュリティのハブになりつつある理由

強力なパスワードポリシーの施行

パスワードは、パソコンへの不正アクセスを防ぐための最初の手段だ。パスワードが強力であればあるほど、悪意のあるソフトウェアやハッカーからコンピューターをより高度に保護できる。

• 強力なパスワードは、少なくとも8文字以上でなければならない。

• 以下の4つの主要なカテゴリーの文字を含む必要がある。

• 大文字のアルファベット

• 小文字

• 数字

• 文字

• 個人情報（本名、ユーザー名、会社名など）を含んではいけない。

• 過去に使用したパスワードとは異なるユニークなものであること。

• 完全に綴られた単語を含んではいけない。

組織全体で多要素認証（MFA）を有効にする

多要素認証（MFA）は、ユーザーを確実に識別し、個人情報や組織情報を保護し、個人情報の盗難を防ぐためのもっともシンプルで効果的な方法だ。

MFAの主な利点は、ユーザ名とパスワード以外の方法でユーザを認証することにより組織のセキュリティを強化できることだ。ユーザー名とパスワードは重要だが、ブルートフォース攻撃に弱く、第三者に盗まれる可能性がある。

MFAシステムでは、アカウントやプラットフォームにアクセスするためにユーザーに2つ以上の要素の提供を求める。これらの要因は3つのカテゴリーに分類される。

• あなたが持っているもの-携帯電話やトークンなど。

• あなたが持っているもの- 指紋や顔認証などの生体認証指標。

• あなたが知っている何か-パスワードやセキュリティ質問のようなもの

最小限の特権の原則に従うこと

最小特権の原則とは、すべてのユーザー、プログラム、またはプロセスが、その機能を果たすために必要な最低限の特権のみを持つべきであるという考え方だ。例えば、データベースから記録を引き出すために作成されたユーザーアカウントには、管理者権限は必要ない。またレガシーコードの更新を主な業務とするプログラマーには、財務記録へのアクセスは必要ない。

最小限の特権の原則は、必要な仕事を行うのに十分なアクセスを許可することで機能する。IT環境では、最小特権の原則を遵守することで攻撃者が低レベルのユーザーアカウント、デバイス、またはアプリケーションを侵害することによって、重要なシステムや機密データへのアクセスを得るリスクを低減できる。この原則を導入すると侵害を発生源の範囲にとどめ、システム全体への拡散を防ぐことができる。

関連記事：Big Tech vs data protection laws in Asia: Who is compromising?

ラストマイル

強力なデジタルインフラと優れたサイバー衛生管理はサイバーリスクの最大90％から組織を保護できるが、これらの対策は企業を不可侵にするものではない。攻撃者は絶えずシステムの抜け穴を探しており、たった一度の過失で企業のサイバーセキュリティが大きく損なわれる可能性がある。したがって、サイバーリスクのラストワンマイルをカバーできるリスク移転ツールとして機能するサイバー保険への加入は非常に重要だ。

IBM社の「2020 Cost of a Data Breach Report」によると、データ侵害の平均コストは386万米ドルとなっている。サンプルコストには、事業中断による損失、恐喝による支払い、負債、修復費用、金銭的な罰則など、あらゆるものが含まれる。

シンガポールでは、サイバーデータ保護違反に対する金銭的な罰則は組織の年間売上高の10％または100万シンガポールドルのいずれか高いほうとなっている。

スタンドアロン型のサイバー保険は、一般的に、ヒューマンエラーからサイバー攻撃、金銭的損失、風評被害まで、あらゆるサイバーリスクをカバーしている。またこれらの保険には、デジタルフォレンジック、法律コンサルタント、広報の専門家などで構成される専門家対応パネルへのアクセスが含まれており、サイバー事故対応プロセス全体を合理化し、円滑に進めることができる。

サイバー危機の渦中にあっても、専門チームがインシデント対応と復旧を管理することで、安心感が得られ、あらゆる状況に適切に対処できる。

現代のビジネスでは、事実上、すべての企業がリスクのあるデジタル資産を保有している。日々使用しているデータ、ソフトウェア、コンピュータは、正常な業務を維持するために不可欠なものだ。

大規模な企業や機関の多くは、社内にサイバーチームを設置し、包括的なサイバー保険に加入しているかもしれないが、中小企業や中堅企業に対するサイバー攻撃が最近増加していることから、組織の規模にかかわらずサイバーリスクへの耐性を構築することがいかに重要であるかが浮き彫りになっている。サイバー侵害を防止し、十分に準備されたサイバー戦略を策定することで、過失を罰するために設けられている厳しいサイバー侵害の罰則を回避し、組織は数百万ドルを節約できる。

包括的なサイバー保険に投資することで、損害や金銭的損失を確実に補償するだけでなく、専門家によるDFIRサービスや侵害管理サポートを受けることができる。

強力なサイバーセキュリティ対策、インシデント対応計画、および補償が、たった一度のサイバー侵害が、これまで通りの業務を継続できるのか、あるいは永久に業務を停止するのか、その分かれ目となってしまう。企業がサイバー侵害から自社を守るためにできる限りのことを実施し、「最後の1マイル」を怠らないことは、進化し続け容赦ない結果を招くサイバー脅威において非常に重要である。

翻訳元：https://e27.co/practical-tips-to-protect-your-business-from-cyber-attacks-20210811/

表題画像：Photo by Maximalfocus on Unsplash (改変して使用)