セキュリティは習慣です。ほとんどの人間の習慣と同様に、セキュリティを身につけるには何年もの練習が必要です。例外となるのは、悪い習慣です。サイバーセキュリティの専門家は、悪い習慣は本質的に簡単に身につくことを知っています。従業員にとっては、絶え間ないアラートを止めるためにファイアウォールをオフにする方が楽です。あるいは、覚えやすい簡単なパスワードを設定する方が楽です。あるいは、データを要求するウェブサイトにデータを提供してしまうことさえあります。
こうした悪い習慣は一度身に付くと、なかなか抜け出せず、組織のセキュリティにとって深刻な脅威となり得ます。サイバーセキュリティは結局のところ、人間を中心に展開されます。セキュリティ対策が不十分な文化が蔓延している組織は、侵害やその他のあらゆる攻撃に対して極めて脆弱な状況に陥っていると言えるでしょう。
ここでは、多くの組織が犯している 5 つの不適切なセキュリティ慣行について説明します。
1. アクセス制御ポリシーを実装していない
アクセス制御は、ほぼすべての組織が頭を悩ませている問題です。たとえ最も強力なファイアウォールを備えていても、組織内のすべてのユーザーがあらゆる情報にアクセスできる場合、そのファイアウォールは時に役に立たないことがあります。そうなると、企業は内部者による侵入に対して非常に脆弱になります。また、ハッカーがネットワークへのアクセスを持つシステムを制御できれば、それは彼らにとって大きな利益となります。
2. IPS/IDSシステムを導入していない
侵入検知・防止システム(IDS/IPS)は、他のサイバーセキュリティソリューションとは少し異なる仕組みで動作します。これらのソリューションは、分析のための監視と追跡機能を提供します。ネットワーク管理者には多少の手間がかかりますが、その価値は十分にあります。これらのデータから、侵入の詳細な活動を示す貴重な洞察が得られ、セキュリティポリシーをより適切に策定できるようになります。
続きを読む: 企業に侵入防止/検知システムを導入するメリット
3. セキュリティポリシーがない
このトピックでは、セキュリティポリシーの策定が不可欠です。当たり前のことのように聞こえるかもしれませんが、多くの組織はまだこの事実に気づいていません。サイバーセキュリティポリシーは、組織内の他のポリシーと同様に重要な文書であり、同様に厳格に施行する必要があります。サイバーセキュリティポリシーは包括的で、すべきこととすべきでないことを明確に規定し、すべての従業員が理解できるようにする必要があります。
4. 使用しているソフトウェアを更新していない
2017年、WannaCryランサムウェア攻撃が世界中で大きな話題となりました。この攻撃はWindows XPのセキュリティホールを悪用したものでした。そう、Windows XPは今や2014年近く前のオペレーティングシステムであり、Microsoft自身も7年にサポートを終了しています。実際、世界中のPCのXNUMX%が依然としてこの時代遅れのオペレーティングシステムを使用していることが判明しました。この事例は、企業が使用するソフトウェアを更新しないことの極めて大きな危険性を如実に示しています。ハッカーは大企業の怠慢を熟知しており、それを容赦なく悪用するでしょう。
5. ソーシャルエンジニアリングのリスクを理解していない
組織によっては、サイバーセキュリティは技術の問題だと完全に考えてしまうことがあります。しかし、それは決してそうではありません。なぜなら、サイバーセキュリティは根本的に技術の問題だからです。 人間の問題組織にとって、従業員は最大の資産にも、あるいは最大の負債にもなり得ます。従業員もサイバーセキュリティの知識を身につけなければ、侵害を特定し、抜け穴を塞ぎ、フィッシングメールに騙されないよう対策を講じることは困難です。そのためには、定期的な意識向上とトレーニングが重要です。
Seqriteの統合脅威管理(UTM)は、上記で特定された多くの問題に対するワンストップソリューションを提供します。ITセキュリティ管理、安全な作業環境、高い生産性、規制遵守を、コスト効率の高いバンドルソリューションで提供する最前線の防御として機能します。
お客様のビジネスのITセキュリティパートナーとして、 セクライト 高度なサイバー脅威から包括的なセキュリティを提供します。詳細はこちら
