ペースの速い今日の組織では、エンドユーザーは時に近道をしようとします。締め切りに間に合わせようと急いだり、複数のタスクをこなしたり、あるいは単に役に立とうとしたり。しかし現実には、良かれと思ってやったことでさえ、取り返しのつかないことになりかねません。
思い浮かべてみてほしい。ある社員が、”何の問題もないだろう “と思って、自宅で家族に仕事用のノートパソコンを使わせてしまったとする。しかし、その従業員はそうとは知らずに、大切な家族が誤ってマルウェアをダウンロードしてしまい、社内のネットワークを通じて拡散し、機密データや重要なシステムに大打撃を与えてしまう。
突然、その些細な好意が数百万ドル規模の悪夢に変貌してしまうのだ。
これは単なる仮想シナリオではない。世界経済フォーラムは、サイバーセキュリティ・インシデントの95%は人為的ミスに起因することを明らかにしている。最先端のセキュリティ・テクノロジーや鉄壁のプロトコルにもかかわらず、良識あるエンドユーザーの不注意が災難への扉を開いてしまうことが多いのだ。
このような失態の代償は?
IBMによると、2023年のデータ漏洩の世界平均コストは445万米ドルと、過去3年間で15%も増加している。これは単に金銭的な打撃というだけでなく、ビジネスを終わらせる可能性のある出来事なのだ。
従業員にありがちなサイバーセキュリティの5つの失敗例
リスクをよりよく理解するために、良識のある従業員が犯すサイバーセキュリティの最も頻繁な5つの失策を検証することができる。
1.不正なデバイス・アクセスを許可する
Proofpoint のユーザー・リスク・セキュリティ・レポートによると、社会人の半数が友人や家族に自宅で仕事用のデバイスを使用させていることが明らかになっています。一見無害に思えるが、大切な家族が会社の機密データにつまずいたり、安全でないウェブサイトやアプリケーションに無意識にアクセスしたりする可能性がある。また、許可されていないユーザーがマルウェアをダウンロードしたら?サイバー犯罪者が企業データ、クラウドアプリケーション、ストレージにアクセスし、データ漏洩、知的財産の盗難、風評被害など、セキュリティリスクのパンドラの箱を開けてしまう可能性がある。
このリスクに対処するには、パスワード保護や二要素認証などの厳格なセキュリティ管理を導入し、従業員にデバイスの神聖性の重要性を叩き込む必要がある。
その代わりに、全従業員が従うべき包括的な情報セキュリティ計画を導入し、チームリーダーがチーム内でサイバーセキュリティの規律を徹底するよう奨励する。
2.機密情報の誤配信
エンドユーザーの一人が、機密データが詰まった電子メールを誤って間違った受信者に送信してしまったとします。これは想像以上に頻繁に起こることで、特にヘルスケアのような業界では、誤送信はデータ漏洩につながる最も一般的なミスです。
このような取り違えを防ぐには、機密メールの暗号化を義務付ける、宛先を再確認するためのポップアップ・リマインダーを導入する、セーフティネットとして機能するデータ損失防止ソリューションを導入する、などを検討しましょう。
3.パスワードの再利用
効果的なパスワード・ポリシーを導入しても、従業員が安全性の低い個人用デバイスやウェブサイト、アプリケーションでパスワードを再利用している場合、サイバー犯罪者に大きな門戸を開いていることになります。
エンドユーザーによるパスワードの再利用というミスを100%防ぐ方法はありませんが、Specops Password Policyのようなソリューションを利用すれば、少なくともパスワードが漏洩したかどうかを知ることができます。
このソリューションは、Active Directoryを40億以上の漏洩したパスワードのデータベースと継続的に照合し、漏洩したパスワードを使用していることが判明した場合、ユーザーに変更するよう警告します。
4.リモート・インターフェースの公開
リモートワークはまた、新たな課題をもたらしました。ITチームはしばしばリモート管理タスクを実行する必要がありますが、管理インターフェイスをインターネットに公開することは、Wi-Fi接続があれば誰にでも王国の鍵を渡すようなものです。
バーチャルな玄関を開けずにリモート・アクセスを許可するには、オンラインに公開するものを厳選する必要があります。さらに、自動メンテナンス・ソリューションを採用すれば、脆弱性とリスクを最小限に抑えることができる。
5.特権アカウントの悪用
IT従業員も人間であり、やってはいけないとわかっていてもリスクを冒してしまう可能性があることを忘れてはなりません。例えば、IT管理者は、日常的なITタスクを処理しているだけであっても、特権アカウントで作業したくなるものです。便利ですし、管理者アカウントとユーザー・アカウントを行ったり来たりしなくて済みます。
しかし、その便利さには大きな代償が伴います。管理者アカウントが侵害されれば、大きなリスクとなります。
最も安全な方法は?管理者アカウントは重要なタスクにのみ使用し、日常的な作業には権限を制限したユーザーアカウントを使用する。
最小権限の原則(PoLP)を導入し、従業員が特定の職務を遂行するのに必要なリソースと権限にしかアクセスできないようにする。また、ユーザー権限を定期的に見直し、監査し、不要な権限があれば速やかに取り消す。
サイバーセキュリティはチームスポーツ
結局のところ、サイバーセキュリティはチーム・スポーツです。技術的な防御がどれほど強固であっても、従業員が最初の防御ラインであり、最も弱いリンクであることがよくあります。
よくある落とし穴を理解し、賢明なポリシーとトレーニングを実施することで、サイバー脅威との戦いにおいて、従業員を負債から資産に変えることができます。結局のところ、ビジネスを保護する場合、1オンスの予防は何百万もの治療に値するのです。
Active Directoryに潜む未解決のリスクを知りたいですか?無料の監査ツールで読み取り専用のスキャンを実行し、パスワード関連の脆弱性に関するエクスポート可能なレポートを入手してください。
Specops Password Auditorのダウンロードはこちらから。
Specops Softwareがスポンサーとなり、執筆しました。
Comments