Specops Onboarding

新入社員の受け入れは、どんな組織にとっても重要な時期です。何しろ、新しいチームメンバーを会社やその文化に溶け込ませる機会なのですから。しかし、新入社員が入社する時期は、新入社員と機密情報を共有することになるため、特有のセキュリティ・リスクも生じます。

この記事では、新入社員の受け入れプロセス(および新入社員)がサイバー犯罪者にとって魅力的な標的となる理由を探ります。新入社員の入社時に最もリスクが高い領域を特定し、これらのリスクを軽減するためのベストプラクティスを学んでください。

なぜ新入社員はハッカーの格好の標的なのか?

新入社員は、貴社のプロセス、コミュニケーションスタイル、セキュリティプロトコルについてほとんど(あるいはまったく)知識も理解もなく、まったく馴染みのない領域にいます。そして、この知識不足が、ソーシャル・エンジニアリング攻撃の格好の標的となるのです。

同僚や社内の権威者になりすましたハッカーは、新入社員を騙して機密情報を漏らしたり、安全なシステムへのアクセスを許可させたりすることに全力を注ぎます。

さらに、新入社員は同僚や上司に好印象を与えたいと強く願っていることが多い。そのため、リンクや添付ファイルの正当性を十分に確認することなく、すぐにクリックしてしまうのです。ハッカーは、新入社員が成功しやすい標的型フィッシング・キャンペーンを作成することで、この熱心さを利用している。

ハッカーはどのようにして新規加入者の犠牲者を特定するのだろうか?同僚や昔の上司が新しい仕事に就いたかどうかを知るのと同じ方法だ。

ハッカーは、LinkedInを熟読して新入社員と組織内での新しい役職を特定し、その情報を使って、新入社員を欺く可能性が最も高い、高度にパーソナライズされたフィッシングメールやソーシャルエンジニアリングの試みを作成します。

オンボーディングにおけるリスクはどこで発生するのか?

オンボーディング・プロセスには、数多くのリスク領域が存在する。最も大きなものの1つは、機密情報、特にパスワードの共有です。多くの組織では、新入社員とパスワードを共有する際、プレーンテキストのSMSや電子メールで送信するなど、安全でない方法に頼っているのが現状だ。

これらの方法は、ハッカーが通信を傍受してパスワードにアクセスする中間者攻撃(man-in-the-middle attack)に対して脆弱である。

管理職が新入社員に口頭でパスワードを伝えることで、このリスクを軽減しようとする企業もある。しかし、このアプローチはより安全なように見えるかもしれないが、現実には、チェーン・オブ・カストディにもう1つの潜在的な侵害ポイントを導入することになる。要するに、管理者が新たなハッキング・ターゲットとなり、パスワードが漏洩する可能性が高まるのだ。

Specopsの調査によると、パスワードの漏洩に関して、もう1つ憂慮すべき傾向があることが判明した。それは、従業員が、ITチームが初回ログイン用に提供する「一時的な」ログイン・パスワードを変更しないケースが多いことだ。新入社員が入社時に仮のパスワードを与えられても、それを強固で固有のパスワードに変更することを優先しない場合がある。このような一時的なパスワードは、脆弱であったり容易に推測可能であったりする可能性が高いため、このような見落としがあると、組織は攻撃に対して脆弱なままになってしまいます。

オンボーディング・リスクを軽減するベスト・プラクティス

新入社員の入社に伴うリスクを最小化するために、組織はいくつかのベストプラクティスを遵守すべきである:

  • 最小特権の原則に従う:最小権限の原則に従う:新しいユーザー・アカウントを設定する際には、従業員が職務を遂行するために必要な権限のみを付与する。機密情報やシステムへのアクセスを制限することで、アカウントが漏洩した場合の潜在的な損害を減らすことができる。
  • 明確なサイバーセキュリティポリシーを確立する:組織のサイバーセキュリティは、最も脆弱な部分ほど強固です。このことを念頭に置き、組織のデジタル環境のあらゆる側面をカバーする包括的なセキュリティ・ポリシーを策定してください。これらのポリシーは、入社時に新入社員に明確に伝え、安全な職場環境を維持するための役割と責任を理解させる必要があります。
  • 定期的なセキュリティ意識向上トレーニングを実施する:新入社員を含む全従業員に対して継続的なトレーニングを実施することは、最新のセキュリティ脅威とベストプラクティスに関する情報を提供し続けるために重要である。このトレーニングでは、フィッシング詐欺の手口の特定、強力なパスワードの作成、機密情報の安全な取り扱いなどのトピックを取り上げる。
  • 安全なパスワードの配布を実施する:従業員の最初のパスワードを平文または口頭で共有する代わりに、 Specops uResetの First Day Password機能のような安全なソリューションの使用を検討します。このツールにより、新入社員はセキュアなセルフサービスポータルを通じて自分のパスワードを設定できるため、プレーンテキストでの送信や口頭でのコミュニケーションが不要になります。また、 Specops Password Policy with Breached Password Protectionなどの他のSpecops製品と統合することで、新入社員が組織のセキュリティポリシーに準拠した強固で固有のパスワードを作成できるようになります。

デジタル資産の保護

新入社員の受け入れプロセスでは、組織特有のセキュリティ上の課題が発生します。デジタル資産を保護するためには、新入社員がなぜ魅力的なハッキングの標的になるのかを理解し、新入社員の受け入れプロセスにおいてリスクが生じる領域を特定する必要があります。

最小特権の原則に従うこと、継続的なセキュリティ意識向上トレーニングを実施することなど、ベストプラクティスを導入することで、データ侵害の可能性を減らすことができます。また、保護をさらに強化するために、SpecopsのFirst Day Passwordツールのような安全なパスワード配布ソリューションの採用を検討してください。

オンボーディングプロセスを保護するための積極的な対策を講じ、新入社員に初日から組織のデジタル資産を保護するために必要な知識とツールを提供することで、コストのかかるデータ侵害のリスクを大幅に低減し、企業の機密情報を確実に保護することができます。First Day Passwordがあなたの組織のセキュリティをどのように高めることができるか、ご興味がおありですか?

今すぐエキスパートにご相談ください。

Specops Softwareがスポンサーとなり、執筆しました。