> > 相変わらず企業セキュリティにとって最大の脅威は従業員

RSSフィード

相変わらず企業セキュリティにとって最大の脅威は従業員

企業セキュリティを守る最前線にいるのは従業員です。しかし、悪い習慣のせいで、機密情報の窃取をたくらむサイバー犯罪者にとって狙いやすい標的となってしまうのも従業員です。

296302733.jpg今までに何度も指摘されてきたことですが、企業セキュリティにとって最大の脆弱性は何かというと、企業の従業員です。実際、英国で実施された近年の調査によれば、大規模組織の 75 % で従業員に起因するセキュリティ問題が発生しており、被害の大きかった問題の 50 % は人為的ミスが原因でした。つまり、従業員はセキュリティ対策の最前線に立っていながら、習慣によっては企業セキュリティに対する最大の脅威をもたらす場合もあります。

従業員はどのような方法で会社のセキュリティを危険にさらしているのか

悪意の有無に関係なく、会社のセキュリティを脅かす原因になるような従業員の行動はいくつもあります。このような行為の例には、クラウドを使ってファイルを共有する、悪意のあるアプリをうっかりダウンロードしてしまう、フィッシングのリンクをクリックしてしまう、パスワードを使い回す、オンラインゲームで遊ぶなどがありますが、ただ音楽を聴くだけでもリスクがあります。サイバー犯罪者は、機密情報にアクセスするため、あらゆる入口を探します。このことを忘れてはいけません。

従業員の習慣を調べたある調査によると、従業員の 63 % が仕事用の端末をネットバンキングやSNS、ショッピングなどの私用目的に使っていました。同調査の結果、従業員の 94 % がノートブック端末やモバイル端末を公衆 Wi-Fi ネットワークに接続していること、69 % がそのようなネットワークを介して仕事関係のデータを扱っていることも判明しました。加えて、企業は従業員が個人で所有するモバイル端末に潜む危険性を見落としがちです。

Forbes Global 2000 企業に従事するセキュリティ専門家 588 人を対象としてアンケートを実施した別の調査によると、従業員が所持するモバイル端末の 3 % がマルウェアに感染しています。平均すると、1 社あたり 1,700 台を超える感染端末が企業ネットワークに接続していることになります。

どうすればよいのか

We Live Security のセキュリティ専門家は、社内外の脅威に対して会社がどのように取り組むのかを詳細に記したサイバーセキュリティプログラムを用意することが、企業セキュリティに結び付くと言います。しっかりした基盤を築くため、以下の枠組みに従ってオンラインのセキュリティを強化することを、彼らは勧めています。

従業員の意識をさらに向上する
もはや従業員が「サイバーを意識している」程度では不十分です。人はいかにミスをしやすいのか、脆弱性はどこに存在するのかを、全社員が理解しなければなりません。知識がまったくないのは、判断に迷った場合の基準が存在しないのと同じことで、結果として問題が顕在化する可能性が高まります。

データをバックアップする
100 % 確実な方法は存在しません。たとえば、ランサムウェアの Locky は外部の脅威であると同時に、添付付きの電子メールによって広まる内部の脅威でもあります。文書にはトロイの木馬が埋め込まれており、開いてしまうとペイロードが実行されます。したがって、バックアップは不可欠です。セキュリティ問題が発生した場合に複製を使えるよう、外付けのハードディスクに保存するのが望ましいでしょう。

やっていいことと、いけないことを文書化する
やっていいことと、いけないことを細かく文書化し、自社のベストプラクティスとして、どこが境界線かを明確にすることが非常に大事です。たとえば、職場で使っているノートブックパソコンを従業員が自宅に持ち帰るのを可とする組織もあれば、不可としたい組織もあるでしょう。これに加えて、従業員がルールに違反した場合、注意を与えるのか、それとも罰金を科すのかなど、会社は対応計画を検討する必要があります。もちろん、この内容は企業ごとに異なるでしょうが、故意であれ、不注意であれ、違反をどのように考え、対処するのかにおいて重要な意味を持ちます。

以上の 3 つのガイドラインは堅固な企業セキュリティ基盤の元にはなりますが、各企業は自らの責任において、これらの枠組みをベースとして持続的にセキュリティを固めなければなりません。エンドポイントを常時監視すれば、セキュリティ担当チームは従業員に起因する攻撃にすばやく対応し、悪意のある侵害を防げます。また、サイバーセキュリティで巧妙化する脅威について従業員に継続的な教育を施せば、会社の機密情報を危険にさらす可能性のある行動を従業員がとらないようにできます。従業員が企業セキュリティにおける脆弱性でなければならない理由はありません。適切な注意を払うようになれば、この防衛の最前線は、セキュリティ侵害に対していっそう強固な守りとなります。

 

この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事はこちら: Employees Still the Biggest Threat to Enterprise Security - [2016 年 5 月 18 日投稿]