Skip to main content

アセットを守る

学習の目的

この単元を完了すると、次のことができるようになります。

  • システム、デバイス、アプリケーションを保護するための基本的な防御策を実装します。
  • サイバーハイジーンの専門知識とツールを提供しているリソースを見つける。
  • ビジネスを適切に保護するために必要な通常のプロトコルとプロセスを特定する。
  • マルウェア、ランサムウェア、その他のサイバー脅威の影響と危険性について説明する。

単純な防御策が最善な場合がある

スパイウェア、マルウェア、ランサムウェアという言葉を聞くと不安になりますね。こうした永続的な脅威から自分自身を守るのは困難なことのように思えるかもしれません。幸い、組織のサイバーセキュリティに大きな効果をもたらことができる基本的なステップがあります。このステップには、パッチの適用と Web サイトの保護があります。 

糸で縫い付けられたパッチとその上に置かれた針。

パッチの適用

お気に入りのパンツに穴が開いたり薄くなったりしたら、パッチをあてて修繕します。パッチは生地を補強し、ダメージがさらに広がるのを防ぎます。同様に、すべての組織は、データを伝送するすべてのシステムが厳格なパッチ適用方針に従っていることを確認する必要があります。 

システムは最初にインストールされたとき、大抵は最新の状態になっています。ただし、テクノロジーは急速に進化していて、システムやアプリケーションは頻繁にバージョンが変更されます。こうした変更は、システムを他のシステムやアプリケーションと効率的かつ安全に連携させるために行われることが多く、それに伴って定期的な更新が必要になります。 

ハードウェアとソフトウェアの開発者は、最新の脅威を継続的に監視し、システムとアプリケーションをその脅威から保護するために更新プログラムをリリースします。更新プログラムがリリースされていないか常に確認し、リリースされたらすぐに実装してください。更新プログラムは、ハッカーが侵入しにくいように、システム、アプリケーション、デバイスを保護するための組み込みのセキュリティ機能を提供します。古いシステムやプログラムはセキュリティリスクをもたらします。

メモ

ヒント: 更新プログラム/パッチは自動的に適用されるように設定できます。そのように設定しておくと、システムやアプリケーションの新しい更新プログラムを把握するプロセスを簡略化できます。また、最大限の保護が利用可能になったときに確実に適用することができます。これを活用しない手はありません。

パッチの適用について考えるときには、レガシーシステムを忘れないでください。無視しようと思う人はいないでしょうが、今日の多忙なビジネスの世界では、組織が古いシステム内の問題やバグを解決できないのは珍しいことではありません。その古いシステムを使ってここまで来たのです。忘れずに保護してください。 

ハッカーやサイバー犯罪者より先に脆弱性を特定する、システムの更新とスキャンに役立つツールについては、「リソース」セクションを参照してください。  

Web サイト: ビジネスの玄関

Web サイトを立ち上げた後に忘れてしまいがちですが、他のシステムと同様に、Web サイトのセキュリティ設定を更新して監視する必要があります。Web サイトがセキュリティで保護されていなければ、あなたの情報にアクセスすることをハッカーに許してしまいます。ハッカーはあなたの Web サイトを物色しながら弱点を特定し、データを盗み出して Web サイトを侵害します。それによってあなたのレピュテーションに取り返しのつかないダメージを与える可能性があります。Global Cyber Alliance による中小企業向けの Update Your Defenses ツールボックスの「Secure Your Websites (Web サイトの保護)」セクションにあるツールを使用して、Web サイトの弱点と脆弱性を特定してください。

セキュリティバイデザイン

セキュリティバイデザインとは、セキュリティが開発プロセスに含まれていることを意味し、まさにあなたのビジネス戦略と企業文化の基盤となるものです。セキュリティバイデザインは通常、ソフトウェア開発に適用されますが、セキュリティはすべてのビジネスモデル、すべてのリリース、すべての顧客関係に組み込むべきものです。運用戦略に含まれていますか? 新しい製品またはサービスをリリースするときに、更新済みで安全であることを確認しましたか? 新しいアプリケーションまたはシステムをリリースする前に、必ずすべての高リスクの脆弱性を解決してください。 

シンプルなルールは、セキュリティをすべての計画とイニシアチブに組み込むことです。これにパッチ適用の確固たるコミットメントを組み合わせれば、優良なサイバー健全性につながります。

強力なパスワード習慣と多要素認証

ハッカーによるシステムへの侵入を容易にする弱いパスワードは、サイバーハイジーンの敵といえます。強力なパスワードと多要素認証 (MFA) は、組織を守るために効果的な方法です。 

弱いパスワードとパスワードの再利用は、データ侵害の主な原因です。幸い、Fast Identity Online (FIDO) AllianceWorld Wide Web Consortium (W3C) は、弱いパスワード認証の置き換えを可能にするオープン標準を作成しました。これは組織内の全員が強力なパスワードを作成して維持できるようにする優れたリソースです。 

詳細とリソースについては、Global Cyber Alliance による Beyond Simple Passwords ツールボックスを参照してください。

MFA は、企業が自社と顧客を保護する、もう 1 つの効果的な方法で、多くのサイトで無料で提供されています。パスワード (できれば強力なもの) を使用してログインすると、別の認証が必要になります。大抵は、PIN またはプロンプトがメッセージで送信されるか、携帯電話の認証アプリケーションに送信されます。アカウントや顧客データなどの情報にアクセスするには、両方の認証ソースが必要です。ハッカーがあなたのパスワードを推測したとしても、2 つ目のソースがなければアクセスできません。これが MFA の利点である二重の保護です。MFA は Web サイトやシステムに簡単にインストールできます。詳細は、「リソース」セクションを参照してください。MFA を設定すると、誰かがシステムに不正にアクセスしようとするたびにアラートを受信することもできます。 

パスワードゲーム

では、強力なパスワードはどうやって作るのでしょうか? 

単純なパスワードが書き込まれたクロスワードパズルと iLoveItaly!6931 というパスフレーズが入った 1 行。

パスワードの設定については、私たち誰もが (プライベートと仕事の両方で) 従うべき簡単なルールがあります。 

  • 複雑だが覚えやすいパスワードにする。推測しにくいパスフレーズの使用を検討する。
  • 文字、数字、記号を組み合わせてパスワードを作成する。
  • アカウントごとに一意のパスワードを使用する。
  • パスワードを保護し、絶対に共有しない。
  • パスワードマネージャーを使用してパスワードを作成して保存する。

こちらで、強力なパスワードハイジーンを説明している優れた動画シリーズを視聴できます。

マルウェア、ランサムウェア、ウイルス...

ネットサーフィン。私たちはしばしば (実際は頻繁に) ネットサーフィンを楽しみますが、多くの人にはそれが職務の一部であったりします。インターネット上では、あなたのビジネスや生活を滅茶苦茶にするように設計された多数の脅威を見つけることができます。そのような脅威とはどういうもので、自衛するにはどうしたらよいのでしょうか?

ランサムウェアは、悪意のあるソフトウェアの一種で、データを暗号化してロックすることにより、コンピューターシステムへのアクセスをブロックするように設計されています。犯人は、再びアクセスできるようにするために多額の金銭を要求します。ランサムウェアは、あなたとあなたの顧客の安全なデータを脅かすだけでなく、あなたがビジネスを行うことを妨害します。 

マルウェアは、システムを妨害、破壊、または不正アクセスができるようにするために設計されたソフトウェアです。 

ランサムウェアやマルウェアに対抗するための最も効果的な方法の 1 つは、定期的にシステムとデバイスのバックアップを行うことです。バックアップを実行すると、データのコピーが作成され、あなたのコンピューターまたはデバイスとは別の場所に保存されます。貴重なデータを定期的にバックアップすることで、データの復旧が可能になり、ダウンタイムや機会の損失を防ぐことができます。

ウイルスについて言えば、新しいウイルスが毎日出現しています。これについていくのはほぼ不可能です。幸いなことに、ウイルスを専門とし、ハードウェアやソフトウェアのメーカーに新しい脅威を通知する企業がいくつかあります。ウイルス対策ソフトウェアをインストールして定期的に更新し、ウイルスや悪意のあるソフトウェアからの攻撃を防ぎます。 

同じく重要なのは、従業員が仕事用のデバイスからサイトにアクセスするときに組織を保護することです。保護の最善策の 1 つは、Domain Name Service (DNS) セキュリティです。これは、ユーザーがインターネットを操作する方法を管理し、サイトが安全であることを確認します。DNS セキュリティは、IP アドレスを確認することにより、広告やポップアップのブロック機能としての役割も果たします。 

まとめ

新しいサイバー脅威は毎日発生しています。定期的な更新、強力なパスワード、MFA、一貫したバックアップなど、システムとデータを保護するために実践できる簡単な対策があります。こうした対策すべてが優れたサイバーハイジーンにつながります。これを実践する責任はあなたにありますが、提供されたツールとリソースを利用すれば、簡単にビジネスを守ることができるはずです。

リソース

無料で学習を続けましょう!
続けるにはアカウントにサインアップしてください。
サインアップ ログイン
サインアップすると次のような機能が利用できるようになります。
  • 各自のキャリア目標に合わせてパーソナライズされたおすすめが表示される
  • ハンズオン Challenge やテストでスキルを練習できる
  • 進捗状況を追跡して上司と共有できる
  • メンターやキャリアチャンスと繋がることができる
今はしない