サイバーセキュリティの次の戦い: 従業員をオンラインでの嫌がらせから保護する方法

セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。最新の Voice of the Community ブログ シリーズの投稿では、Microsoft プロダクト マーケティング マネージャーのNatalia Godylaが、Tall Poppy の CEO 兼共同創設者であるLeigh Honeywellと対談しています。Tall Poppy は、企業が従業員をオンラインでの嫌がらせや虐待から保護するのに役立つツールとサービスを構築しています。このブログでは、Leigh がオンラインでのハラスメントと戦うための企業戦略について語っています。

ナタリア: 職場で経験したオンラインハラスメントの例は何ですか?

Leigh:オンラインでの嫌がらせは 2 つのタイプに分けられます。 1つ目は、仕事に関するハラスメントです。この一例は、元従業員が会社と対立し、元同僚に嫌がらせをしている場合です。他のケースでは、会社が行ったポリシーの決定またはモデレーションの決定に関係しており、組織内の人々が嫌がらせを受けている.

もう 1 つのタイプの嫌がらせは、誰かの日常の仕事とは何の関係もありません。たとえば、従業員がひどい別れを経験し、その元が職場で彼らを悩ませているとします。従業員の日常業務に厳密に関連しているわけではありませんが、仕事に出席し、仕事に参加する能力に影響を与えます。仕事に関係するかどうかにかかわらず、ハラスメントに対処している多くの人々は、生産性の低下、消耗、燃え尽き症候群を経験しています。

Microsoft 365の通信コンプライアンスが、嫌がらせや脅迫的な言葉を検出し、従業員を保護するための措置を講じるのにどのように役立つかを発見してください。

ナタリア: オンラインでの嫌がらせはどの程度問題に広がっていますか?

Leigh:オンラインでの嫌がらせは重大な現象です。 Pew Online Harassment Update ¹によると、2020 年には、アメリカ人の 41% がそれを経験し、28% が暴力の脅威、ストーキング、セクハラ、持続的な嫌がらせなどのより深刻な種類の嫌がらせを経験しました。これは、これらの問題を経験している膨大な数の人々です。これにより、個人アカウントに関するセキュリティの衛生状態を改善するよう人々に動機づけることを優先するようになりました。

従業員の個人アカウントは、会社の攻撃面の一部です。ソーシャル エンジニアリング攻撃は、サイバー犯罪者がターゲットに対して心理的操作を使用する場合です。誰かが私生活に基づいて強要されている場合、会社に影響を与える可能性があります。古典的な CEO 詐欺では、何者かが幹部の個人メール アカウントに侵入し、幹部を装った経理担当者にメールを送り、詐欺師が管理する銀行口座に電信送金するよう依頼します。

ナタリア: 最近のオンラインハラスメントの傾向は?

Leigh:最新の Pew の調査によると、オンラインでの嫌がらせが増加しました。プロジェクト インクルードは、COVID-19 中の社内ハラスメントの状況に関する調査²を発表したばかりで、職場でのハラスメントが急激に増加しています。

オンラインハラスメントを経験した人の数は安定していますが、COVID-19以前は、仕事中に社外からのハラスメントに対処していた場合、家に帰って精神的な分離をしなければなりませんでした.人々がリモートで仕事をするとき、それは別の経験であり、この種の嫌がらせに対処する人々にとって、より個人的で傷つきやすいと感じます.

ナタリア: 組織はオンラインハラスメントについて何を理解すべきですか?

Leigh:米国とカナダの法律では、組織内で従業員が互いに嫌がらせをしないようにする義務があることは明らかです。職場での嫌がらせが、インターネットでの嫌がらせなど、社外からのものである場合、明確な説明はありません。従業員が明確なポリシーと内部的な手段を持っていることを確認することが重要だと思います。

典型的なハラスメント シナリオでは、従業員が Twitter で物議を醸すような発言をすると、人々は従業員を会社から解雇させようとします。時々、人々がクビにさせるような発言は、人種差別主義者や同性愛嫌悪、または何らかの形での偏見です。人々がキャンセル文化について話すとき、彼らは通常、結果について話している.あなたが何かを言うと、あなたはその言葉にとらわれます。

しかし、仲裁するのは難しい。物議を醸す声明は発砲可能ですか、それとも彼らが過小評価されたグループのメンバーであり、自分自身のために立ち上がることの標的にされているため、物議を醸しているのでしょうか?これは、これらの状況を解明するために私が使用するレンズの 1 つです。

ナタリア: オンラインでの嫌がらせは、どのようにしてハッキングにつながるのですか?

Leigh:ソーシャル チャネルや不要な電子メールでの嫌がらせの後、オンラインでの嫌がらせがより攻撃的になることがあります。要求していないパスワード リセットの試行が表示されます。次のレベルはクレデンシャル スタッフィングです。攻撃者は、古い侵害から個人の電子メールとパスワードの組み合わせを取得し、別のアカウントでクレデンシャルを試します。もう 1 つの潜在的なエスカレーションは、攻撃者が被害者になりすまして電話会社を偽装し、新しい SIM カードに電話番号を移植する SIM スワッピングです。この攻撃は通常、知名度が高く、ストーキングの状況ではあまり一般的ではない人々を対象としています。

ナタリア: 従業員が攻撃を受けたときのインシデント対応プロセスはどのようなものですか?

Leigh:誰かが支店のプリンターをハッキングするなど、職場で緊急のインシデントに対処する場合、さまざまな攻撃に対応するための既知のプレイブックがあります。同様に、従業員が対処している嫌がらせの状況の種類に基づいて、さまざまなプレイブックがあります。たとえば、元従業員による嫌がらせや、会社の方針の決定により対象となっている従業員などです。

また、敵対者にも細心の注意を払っています。私たちは通常、その人が安全なデバイスを持っていることを確認し、攻撃者が個人のアカウントにアクセスできないようにします。関連するパスワードを変更し、許可されたアプリケーションを確認する手順を説明します。そこから、その人が大丈夫であることを確認することが重要です。これには、カウンセリング サービスのための従業員支援プログラムなどの内部リソースについて確実に知らせることも含まれます。

ナタリア: オンラインでの嫌がらせを軽減したり、その影響を受けた人々を支援したりするために、企業が導入できるベスト プラクティスは何ですか?

Leigh:まず、許容されるソーシャル メディアの使用に関する明確な内部ポリシーとエスカレーション ポイントを用意します。従業員にソーシャル メディアでのプレゼンスを持たせたくないのは理解できる業界もありますが、最近ではほとんどありません。一般に、公の場でオンラインに存在しないように従業員に指示することは現実的ではないため、重要なことは、書面によるソーシャル メディア ポリシーを通じて、境界、期待、およびガードレールを明確にすることです。従業員は、長期的なキャリアを持ち、個人のブランドを構築したいと考えています。それを閉鎖しようとすると、不当な執行が行われることになり、現実的ではありません。

2 番目のベスト プラクティスは、Yubikey などのハードウェア セキュリティ キーや高品質のパスワード マネージャーなど、個人の生活を保護するためのツールとリソースを利用できるようにすることです。これらの日常的なツールはすべて、人々の私生活と同じように職場でも重要です。オンラインのハラスメント トレーニングでは、電子メール、銀行口座、ソーシャル メディアなどの個人アカウントに攻撃者がアクセスできないようにする方法を従業員に教えています。オンラインでの安全性を維持するために入手できるすべての情報を理解しようとすると、圧倒されることがあります。また、現代の世界でインターネットの存在とともに生活できるようにするために、個人のサイバーセキュリティの専門家になる必要はないという主張があります.

3 つ目は、組織内に明確でアクセス可能な利用可能なリソースがあることを確認することです。これにより、エスカレーション パスがどこにあるかを理解できるようになります。つまり、経営陣にトレーニングを提供し、経営陣が最前線のスタッフとコミュニケーションをとるか、内部コミュニケーション ツールを使用して従業員に通知するかです。リソースの。

従業員が個人のサイバーセキュリティを改善できるよう支援することで、個人のデジタル インフラストラクチャが安全であると確信でき、オンラインでの嫌がらせがアカウントの乗っ取りなどのインシデントに発展しないようにすることができます。

もっと詳しく知る

Microsoft 365のコミュニケーション コンプライアンスが、嫌がらせや脅迫的な言葉を検出し、安全の文化を育むための措置を講じるのにどのように役立つかを学びます。

Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

¹The State of Online Harassment 、Emily A. Vogels、Pew Research Center、2021 年 1 月 13 日。

²COVID-19 以降のリモートワークは害を悪化させています: 企業が知っておくべきことと行うべきこと、Yang Hong、McKensie Mack、Ellen Pao、Caroline Sinders、Project Include、2021 年 3 月。