サイバーセキュリティの基本知識をテスト
サイバーセキュリティについてどのくらい知っていますか?簡単なクイズで、オンライン セキュリティに関する基本知識をテストしましょう。
ビジネス データの保護に関してもヒューマンエラーは付き物です。しかし、サイバーセキュリティに関する基本的な理解が不足していると、ヒューマンエラーのリスクが大幅に高まります。以下の 10 問のクイズで、サイバーセキュリティに関する基本的な知識をテストしてみてください。
テストの結果と後述の記事には、オンライン保護について理解を深めるための、スタッフとマネージャー向けの学習リソースが記載されています。このページをブックマークしておき、ご自身のペースで情報を確認してください。
サイバーセキュリティ テストにチャレンジ
ビジネス サイバーセキュリティ:知る必要があること
社員、共有ファイル、デバイスはすべて、会社の潜在的なリスクとなり得ます。ビジネス リーダーがサイバー保護を最優先に考えない場合、管理が不十分となり、悪意のある攻撃の犠牲になったり、データを失ったりする可能性が高まります。
では、マネージャーと従業員はサイバーセキュリティについてどのような知識を持つ必要があるでしょうか?
上述のクイズではサイバーセキュリティに関するいくつかの基本知識を問われますが、知っておくべきことはまだたくさんあります。以下では、企業が直面する一般的な攻撃のほか、デジタル資産を保護する際にビジネス リーダーが克服しなければならない課題について説明します。
一般的な攻撃の種類
サイバーセキュリティ ソリューションが進化するにつれて、企業を脅かす攻撃のタイプも進化しています。最も一般的な攻撃の種類や、そのような攻撃の仕組みを知っておけば、警戒を維持しながら、企業のポリシーと文化にデータ保護を組み込むことができるようになります。
企業に対する一般的な攻撃には、次の 4 つがあります。
マルウェア
マルウェア(悪意のあるソフトウェア)は、知らないうちにデバイスにアクセスして、さまざまな問題を引き起こします。たとえば、悪意のあるユーザーにファイルへのアクセスを許可したり、デバイスをベースとして使用してネットワーク全体にウイルスを拡散させたり、開発者に収益をもたらしたり、ログイン情報を盗んだりします。
マルウェアには多くの種類があります。セキュリティに関する知識があまりない企業でも、有名なランサムウェアについては耳にしたことがあるのではないでしょうか。
ランサムウェアは、ハッカーにファイルへのアクセスを許可するマルウェアの一種です。その後、サイバー犯罪者はこれらのファイルへのアクセスをブロックし、データを無事に返す代わりに身代金を支払うよう要求します(もちろん、支払った場合でもデータが必ず返されるとは限りません)。
マルウェアは、メールや、すでに感染しているデバイスとの共有接続など、さまざまな方法でシステムに侵入します。トロイの木馬 - 正規のソフトウェアを装うマルウェアです。身を隠して侵入した古代ギリシャの有名な物語をご存知であればその名に納得していただけると思います。無害なアプリをコンピューターやモバイルにダウンロードするように思わせ、実際にはウイルスをデバイスにアクセスさせます。
ほとんどの場合、マルウェアによるネットワークへの攻撃は、デバイスが通常より遅くなったように思えたり、メモリが突然いっぱいになったりするような、マルウェアによる問題が発生した後でなければわかりません。このような理由から、ビジネス セキュリティとして、悪意のあるソフトウェアがデバイスに到達するのを防ぐマルウェア対策が重要になってきます。
さまスパイウェアからボットネットまで、さまざまなマルウェアの種類についての詳細をガイドでご確認ください。
メール攻撃
メール攻撃は、以前であればかなり簡単に見つけることができました。書かれた文章が不自然であったり、過度に切迫したように装ったりして、見知らぬリンクをクリックするか、送金するように求めるようなメールでした。しかしながら、現在でははるかに高度化されており、フィッシングなどの手法を使用してクレジット カードの詳細などの情報を盗むために使用されます。
フィッシング メール(フィッシング)はスパムと呼ばれることもありますが、これらは同じものではありません。スパムとは、単に不要なメールまたは迷惑メールを意味します。大手のメール プロバイダーであれば、迷惑メールを適切に除外してくれます。一方、フィッシングは、銀行や慈善団体などの信頼できる送信元を装ったメールです。
スピアフィッシングはさらに巧妙さが増しています。加害者は、巧妙な手口を使って会社や個人を調査し、なりすます相手や標的を時間をかけて特定します。たとえば、CEO の複製アカウントを設定し、銀行のログイン情報を送信するようにアシスタントにメールを送ります。フィッシング メールはまとめて送信されますが、スピアフィッシングは標的を限定して送信されます。
フィッシング攻撃の種類とその発見方法に関する詳細なガイドをお読みください。
コード インジェクション
平均的な従業員であれば、それが何を意味するのかわからなくても、「マルウェア」または「フィッシング」という用語を聞いたことがあるかもしれません。しかし、SQL インジェクションについて聞いたことがある人はそれほど多くないでしょう。
基本的に、SQL(構造化照会言語)は、データベース管理で使用される言語を指します。たとえば、ある小売業者の最寄りの支店を知りたい場合は、その小売業者のウェブ サイトにアクセスして、検索バーに場所を入力します。SQL は、その検索(クエリ)を読み取り、ウェブ サーバーに保存されているデータベースから関連する結果を返すために使用されます。
SQL インジェクション攻撃では、ウェブ サイトの開発における弱点を利用して、悪意のあるコードをデータベースにアップロードまたは注入します。ハッカーは、このコードを使用して、ウェブ サーバーのデータベースにアクセスして制御し、変更を加えたり、データを盗んだりします。
ログイン情報、メールアドレス、ウェブサイトからアクセスできる個人を特定できるデータが保存されている場合、顧客やビジネスが危険にさらされる可能性があります。また、ウェブサイトで取引を行えるようにしてある場合であれば、大きな損害が発生する可能性があります。
同様の攻撃に、クロスサイト スクリプティング(XSS)があります。ウェブサイトのコーディングやアプリケーションの弱点を悪用しますが、この攻撃では、スクリプトを変更または追加できるコードが挿入されます。この攻撃は SQL ではなく HTML または JavaScript を使用し、正当なウェブサイトを悪意のあるウェブサイトに変えてしまいます。たとえば、XSS を使用すると、顧客がウェブサイトから PDF をダウンロードするたびに、顧客のデバイスにマルウェアをダウンロードするスクリプトを追加できます。
企業のウェブサーバーを保護する方法とその理由についてご確認ください。
DOS
デバイスで実行するアクションはすべて、何らかの実行を必要とするリクエストです。たとえば、「このメールを送信する」、「このアプリケーションを閉じる」、「このリンクを開く」のようなリクエストになります。ブラウザーで開いているタブが多すぎる場合は、複数のリクエストによってデバイスの速度が低下することがわかります。締め切りに間に合わせなければならないときや、レポートを完成させなければならないときには、非常にイライラすることになります。この応答なし状態は、サービス拒否(DOS)攻撃が目的とするものですが、その攻撃はより大規模なものになります。
DOS 攻撃はマルウェアから始まります。デバイスが感染すると、DOS ソフトウェアによって繰り返しリクエストが行われ、最終的にはシステムが完全に過負荷状態になり、場合によってはビジネス ネットワーク全体が過負荷状態になってしまいます。会社は、問題のマルウェアを削除できるまで、ウェブサーバーからデバイスをブロックしなければならなくなります。
DDoS(DDoS 攻撃)は、DOS 攻撃の高度なバージョンであり、1 つだけではなく、複数の侵害されたデバイスを使用して攻撃を実行します。
マルウェアがデバイスに侵入すると、他のコンピューターに拡散してネットワークが構築されることもあります。感染したデバイスからなるこのネットワークはボットネットと呼ばれ、加害者は複数のポイントからリクエストを行うことによってシステムの機能不全を引き起こすことができます。したがって、DOS とは異なり、サーバーの単一のソースをブロックしても意味がなく、侵害された別のデバイスから攻撃が続行されることになります。
DDoS 攻撃は通常、企業、公的機関、金融機関用に利用されます。
現在の DDoS 攻撃の脅威について詳細をご確認ください。
ビジネスが直面する一般的な課題は何か?
デジタル資産の高度な保護を確保するには、企業はさまざまな問題に取り組まなくてはなりません。ビジネス リーダーはこれらの問題を理解してポリシーを作成し、セキュリティ対策を実装する必要がありますが、これらの問題が重要となる理由についての基本的な知識は全社員が持つ必要があります。
以下は、ビジネスにおいて考慮すべき主な項目です。社員は、これらの項目について知っておく必要があります。
クラウド コンピューティング
クラウドは間違いなく私達の働き方に革命をもたらし、多くの企業のデジタル変革を支援してきました。いつでもどこでもオンラインでファイルにアクセスできる、リモート コラボレーションが可能になる、成長するビジネスに簡単にスケーラブルなソリューションを提供することができる、などのメリットがあります。
クラウド コンピューティングでは、ユーザーが複数になり、ネットワーク アクセスを備えたデバイスが多くなるため、従来のコンピューティングよりもリスクが高くなる可能性があります。そのために、サイバー犯罪者がデータを盗むための潜在的なアクセス ポイントがオープンになり、データ コンプライアンスの達成が困難になることもあります。
クラウドには、堅牢なサイバーセキュリティ対策を簡単に実装できます。これも、中小企業が従来のサーバーから移行することのメリットになります。ただし、警戒を怠らないためには、新しいユーザーとファイルを共有したり、フォルダー間でデータを移動したりするなど、一見単純なアクションにリスクが伴っていることを、社員が理解しておく必要があります。
クラウド コンピューティングにおけるデータ セキュリティの問題に関する記事をお読みください。
ウイルス対策ソフトウェア
サイバーセキュリティに関する注意と常識というのは、限定的なものです。安全でないウェブサイトを回避したり、見知らぬ連絡先からのメールをブロックしたりすることに注意を払っても、巧妙なサイバー犯罪者はそれらを問題にせず、ビジネスを悪用するために複数の攻撃方法を使用します。また、人為的ミスも避けられません。そのため、企業はアバスト ビジネスなどの信頼できるサプライヤーのウイルス対策ソフトウェアをインストールする必要があります。
定評のある効果的なウイルス対策ソリューションには、次のような機能が含まれます。
- 疑わしいメール トラフィックをブロックするためのセキュア メール ゲートウェイ
- 信頼できないネットワーク接続を除外する高度なファイアウォール
- 機密ファイルを安全かつ完全に削除するためのデータ シュレッダー
- アプリケーションの脆弱性に対処するためのソフトウェア アップデート プログラム。
このリストにすべてが網羅されているわけではありませんが、会社のサイバーセキュリティ ソリューションには、これらの項目が期待されます。重要なのは、無料のウイルス対策ソフトウェアと個人利用向けのソフトウェアをビジネス環境で使用しないことです。
企業にとってウイルス対策が不可欠な理由の詳細をご覧ください。
データ暗号化
企業のデータは、その企業が所有する最も価値のある資産の 1 つです。現在、ファイル管理はほぼ完全にオンラインで管理されています。そのため、企業が物理的なファイル アーカイブへの扉を開けたままにしないのと同じように、デジタル データも保護する必要があります。
データの暗号化は、書類棚に鍵をするようなものであり、鍵はデータをロックまたは暗号化するために使用され、同じ鍵を持つ人だけがデータを開くことができます。鍵がなければ、データは使用できません。これは転送中のデータ、つまり、メールで送信または共有されるデータ、またはクラウドベースのストレージに移動されるデータの場合に特に重要です。なぜなら、このような状態のデータが攻撃に対して最も脆弱になるためです。
転送中のデータ暗号化の仕組みについてご確認ください。
エンドポイント セキュリティ
サイバーセキュリティにおける「攻撃対象領域」は、データ侵害と攻撃のすべての潜在的なポイントを指します。企業の攻撃対象領域が大きくなるほど、管理が難しくなります。たとえば、企業に 2 人の従業員がいて、それぞれがノートパソコンと仕事用のモバイルを持ち、1 つのサーバー上の 1 つの共有フォルダーにアクセスするような場合、攻撃対象領域はかなり小さくなります。管理者は、誰がどのデバイスとどのデータにアクセスできるかを把握できます。しかし、企業に数百人、場合によっては数千人の従業員がいて、複数のサーバーを使用しているような場合、攻撃対象領域は非常に大きくなります。
エンドポイント保護は、各デバイスを保護し、攻撃が単一のポイントからネットワークの残りの部分に広がるのを防ぐ機能を持ちます。最新のエンドポイント保護ソリューションの多くは、ウイルス対策と、パッチ管理などの機密ファイルやプログラムの周囲にセキュリティの追加レイヤーを提供する他のツールを組み合わせて、包括的なソリューションを提供しています。
ビジネス エンドポイント セキュリティとその重要性に関するガイドをお読みください。
サイバーセキュリティ ポリシー
従業員は、実施されている対策、データ保護の責任者、攻撃が発生した場合の対処方法が記載された、サイバーセキュリティに関する会社のポリシーにアクセスできる必要があります。このようなドキュメントは、パスワード管理からウイルス対策ソフトウェアまで、多層的なアプローチを実施する際に役立ちます。また、従業員に期待される項目についても記載されています。
データ保護とコンプライアンスは、ポリシーでカバーする必要があります。データの処理と保存にはさまざまな規制があり、地域や業界によって異なることがほとんどです。すべての従業員には、これらの基準に従って仕事をする義務があります。
サイバー保護ポリシー テンプレートをご覧ください。
業界固有の課題
米国と英国のさまざまな業界の 2,000 人の従業員の皆さんに、サイバーセキュリティに関する質問に回答してもらいました。この結果から、サイバーセキュリティの知識をコンテキストに組み込むことの重要性が明らかになりました。たとえば、業界が直面している具体的な課題は何でしょうか。
調査結果の例を 3 つ次に示します。
1.非営利サービスとソーシャル サービス
全員がオフィス勤務の回答者による投票では、サイバーセキュリティの最も重要な側面として、ウイルス対策/マルウェア対策のインストール、ファイアウォールのインストール、強固なパスワードの使用が上位 3 つに選ばれました。ただし、これを業界別に分類すると、非営利サービスとソーシャル サービスで選ばれた上位 3 つの項目は、ウイルス対策/マルウェア対策のインストール、社員のトレーニング、強固なパスワードの使用になりました。
これらの重要度に差があるわけではなく、統一された戦略の一部としてすべてを組み込む必要がありますが、さまざまな認識があることを知ることは興味深いことです。この場合、非営利団体は、チームが小さく予算が厳しいため、トレーニングに重点を置いており、各社員は他の業界よりも幅広い責任を負っていると考えられます。
2.政府機関と公的機関
政府機関や公的機関で働く人々は、他の業界の従業員よりも IT 部門に依存していることがわかりました。政府機関は、処理対象のデータの機密性から、IT とオンライン保護に専念する巨大なチームを持つことになります。
また、私たちが質問した政府機関と公務員の 45% は、他の業界よりも、データ侵害により多くの責任を負っていると感じています。総合すると、これらの結果から、政府機関と公的機関の労働者は個人の責任についてより神経質になっており、サイバーセキュリティの管理を IT プロフェッショナルに頼ることを好むことが明らかになりました。
IT プロフェッショナルはサイバーセキュリティについてより深い知識を持っていますが、各自が、攻撃やデータ侵害に対する会社の防御の一部となっていることをすべての構成員が意識することが重要です。
3.製造、出荷、流通
製造、出荷、流通業界で働く人々は、サイバー攻撃を発見できると考えている人の割合が、非営利サービスとソーシャル サービスの人々よりも 3 倍高くなっています。また、攻撃が長期間検出されないかもしれないと考える人の割合は、他の業界よりも低くなっています。
これらの調査結果から、これらの業界の構成員には、サイバー攻撃の仕組みに関するより高い意識を持つことが必要であることがわかります。侵害が発生するタイミングは承知しているという従業員がいると、サイバーセキュリティにおける大きな課題である、独りよがりの判断になってしまうリスクがあります。コンピューターの動作が遅い、ストレージ不足の理由がわからない、など攻撃を発見する方法はありますが、サイバー犯罪は絶えず進化しており、サイバー犯罪者は気付かれずに防御をすり抜ける新しい方法を見つけ出そうとしています。
そのような事実を伝えることにより、製造、出荷、流通業界で働く社員にも、強固なパスワードからソフトウェアのアップデートまで、多層式の保護のメリットをより認識してもらうことができます。
高度なビジネス プロテクション
中小企業の経営者であれ、大企業で働く IT プロフェッショナルであれ、アバスト ビジネスがあれば、企業のデジタル資産を安心して保護することができるようになります。導入と管理が簡単な 100% クラウドベースの階層型エンドポイント保護とネットワーク セキュリティを備えたアバストのソフトウェアは、今日の職場環境に理想的なソリューションを提供します。