パスワードの再利用は、あらゆる場所の企業にとって脅威であり続けています。 最近のレポートによると、64% の人々が侵害で暴露されたパスワードを使用し続けています。エンドユーザーによるパスワードの衛生状態が悪いと、組織がセキュリティ侵害にさらされ、会社の機密データがサイバー攻撃に対して脆弱になる可能性があります。
サイバーセキュリティ攻撃の防止は、防御の最前線である従業員を準備することから始まります。サイバーセキュリティ意識向上トレーニングは、エンドユーザーを標的とする最新のサイバー脅威戦術に対する認識、警戒、知識を高めるのに役立ちます。
すべてのユーザーの「悪い」行動を防ぐことは難しい場合がありますが、トレーニングを行い、従業員に定期的に注意を促すサイバーセキュリティのベスト プラクティスがいくつかあります。
安全なエンドユーザー アカウント
資格情報ベースのエンドポイントは、どの組織でも最も脆弱な攻撃面です。これら 4 つのベスト プラクティスでエンド ユーザー アカウントを保護することは、組織全体をリスクから保護するために重要です。
1. パスワード ポリシーの遵守を徹底する
従業員は、組織のパスワード ポリシー ルールに従うしかありません。たとえば、 Specops Password Policyを使用すると、組織は長さと複雑さの要件を適用して、30 億を超える既知の侵害されたパスワードをブロックしながら、パスワードを可能な限り強力にすることができます。
2. 可能な限り MFA を利用する
エンドユーザー アカウントをさらに保護するには、 多要素認証 (MFA) の実装を、エンドユーザーが仕事用アプリにログインしたり、パスワードのリセットなどの変更を行ったりする場合に必須にする必要があります。 MFA プロセスに関して言えば、ログイン時に身元を確認できる方法が多いほど、誰かがあなたの情報を盗むのが難しくなります。
3. 情報を保護せずに放置しない
アカウント情報に関するもう 1 つのベスト プラクティスは、従業員が不在のときは画面をロックするよう奨励することです。画面のロックを解除したままにしておくと、誰かが機密データを表示またはアクセスするリスクが高まります。
4. パスワード マネージャーを使用する
個々のエンドユーザーだけでなく、共有ボールト機能を利用して、従業員間での安全でないパスワードの共有を防ぐために、組織がパスワード マネージャーの使用を奨励することも重要です。
会社の設備を守る
特にソフトウェア主導の組織では、安全なハードウェアの重要性を忘れがちです。しかし、製造や医療の IT 専門家が言うように、デバイス インフラストラクチャとネットワークを保護することが不可欠です。
従業員がサイバーセキュリティの脅威から機器を保護する場合、社内トレーニングと強力なポリシーが役立つ方法がいくつかあります。
5. すべてのハードウェアは IT 部門から調達する必要があります
まず、すべての新規購入は IT 部門を通じて直接行う必要があります。 IT 部門は、従業員を会社のネットワークにセットアップするだけでなく、コンピューターにセキュリティと OS またはシステム サポートが適切に装備されていることを確認する責任もあります。この初期設定は、IT 部門がコンピュータをリモートで保守し、ソフトウェアが最新の状態で、自動更新が設定されていることを確認するのに役立ちます。
6. モバイル デバイスにも暗号化が必要
電話にはロック画面があり、メッセージの暗号化が有効になっている必要があります。このポリシーは、MFA セキュリティ コードなどの重要なテキストがロックされた画面に表示されないように保護します。このようにして、正しいパスワードで身元を確認できる人だけがメッセージを読むことができます。
7. デバイスを適切に、そして頻繁にシャットダウンする
従業員が 1 週間勤務中、コンピュータを稼働させ続けるのは一般的ですが、機器の正常性 (およびセキュリティ) のためにはシャットダウンすることが不可欠です。ほとんどのソフトウェア アップデートでは、正常に実行するためにコンピュータを再起動する必要があるため、定期的なソフトウェア メンテナンスのために機器をシャットダウンする必要があります。
8.組み込みの保護を無効にしないでください
ファイアウォールを有効にしておくことも従業員に奨励する必要があります。ファイアウォールは、特定の種類のネットワーク トラフィックをブロックするために配置され、システムを外部の脅威から保護します。ファイアウォールを無効にすると、開いているネットワーク ポートに依存する悪意のある攻撃に対して組織が開かれます。
最後に、追加の保護層として、従業員は常にウイルス対策を有効にする必要があります。ウイルス対策ソフトウェアは、新しいファイルをスキャンすることでリアルタイムの保護を提供し、脅威を検出するとすぐにユーザーに警告します。
データのプライバシーと保管に関するポリシー
データのプライバシーは、IT セキュリティ インフラストラクチャのもう 1 つの大きな要素です。これらのデータ ストレージのベスト プラクティスを奨励し、組織にゼロトラスト フレームワークを実装することで、エンド ユーザーが逆にデータを危険にさらすことがないようにすることができます。
9.個人データの保存なし
多くの企業は、従業員がファイル共有やストレージなど、すべてをクラウドに送信することを奨励しています。クラウドでは、誰が内部情報にアクセスできるかをより細かく制御できます。これが会社のポリシーである場合、ユーザーの個人用ストレージに会社情報を保存するべきではありません。
10. USB を思いとどまらせる
さらに、 USB ドライブの使用を思いとどまらせるようにしてください。 USB は小さくて紛失しやすいだけでなく、通常は暗号化されていません。これは、ユーザーがセキュリティで保護されていない個人用または公共のコンピューターに接続し、それを仕事用の機器で使用すると、USB がネットワークにウイルスを転送して導入する可能性があることを意味します。
エンドユーザーが USB を必要とし、他に選択肢がない場合は、IT 部門が購入して監視していることを確認してください。
11. 不審なメールやテキストにご注意ください
また、従業員は、疑わしいと思われる電子メールに細心の注意を払い、不明な場合は常に IT 部門に送信するよう奨励する必要があります。 IT 部門は、アンチ フィッシング キャンペーンを実施して、従業員がセキュリティ意識を高め、疑わしいメールに注意する必要があるかどうかをトレーニングできます。
12. 環境とデータセキュリティを考慮する
すべての従業員は、会社のデータを印刷することも避ける必要があります。ばらばらになった書類は、従業員の自宅やオフィスを離れると、間違った人の手に渡る可能性があります。
印刷は制限する必要がありますが、ドキュメントを印刷する必要がある場合もあります。その場合、使用しなくなったものはすべて細断処理するよう従業員に奨励する必要があります。
ソフトウェアとライセンスを責任を持って扱う
最後に、サイバーセキュリティ 101 のエンドユーザー教育には、仕事用デバイス上のソフトウェアのリスクを含める必要があります。組織は、エンド ユーザーが職場のコンピューターで標準発行されていないものをいつ、どのようにダウンロードまたはライセンス供与できるかについて、明確なガイドラインを用意する必要があります。いくつかのガイドラインは次のとおりです。
13. すべての新規ダウンロードに対する Express IT 許可
新しいソフトウェアのダウンロードは制限する必要がありますが、ユーザーがプログラムをダウンロードする必要がある場合は、たとえ Web ベースのアプリケーションであっても、最初に IT 部門と協力してそれをクリアする必要があります。
これは、Web アプリケーションのセキュリティがまだ導入されていない場合に特に重要です。
14. 外部ソフトウェアの MFA はオプションではありません
さらに、パスワード保護とセキュリティをさらに強化するために、すべての外部ソフトウェアには MFA が必要です。
仕事関連のアプリに組み込まれているセキュリティ対策がどれだけ積み重なっていないかを知ったら、あなたはショックを受けるでしょう。 MFA は、サードパーティのリスクを軽減するのに役立ちます。
サイバーセキュリティのトレーニングは、絶え間ない実践であり、チームの努力です。定期的なリマインダー、トレーニング セッション、および IT からのサポートにより、ユーザーはサイバーセキュリティの脅威に対する認識を高め、内部情報を保護するのに役立ちます。
Specops Softwareによる後援および執筆
Comments