Skip to main content
Join the Agentforce Hackathon on Nov. 18-19 to compete for a $20,000 Grand Prize. Sign up now. Terms apply.

アセットを把握する

学習の目的

この単元を完了すると、次のことができるようになります。

  • すべてのデバイス、システム、アプリケーションのインベントリを確認する。
  • 最も重要なシステムと最も脆弱なシステムを特定する。
  • 最も重要なシステムを保護するための基本的なステップを導入する。

アセットを把握することが重要な理由

さて質問です。自分が何を持っているかを完全に把握していなければ、どうやってそれを守ることができるでしょうか? そのためには、システム、デバイス、アプリケーション (サイバー脅威から保護する必要があるもの) をリストアップすることが不可欠です。これがサイバーハイジーンでの最初のステップです。 

信じがたいことですが、私たちがインターネットを利用し始めて 30 年近くになります。テクノロジーとインターネットが変化しているにもかかわらず、多くの人々は 90 年代と同じ方法でシステムにアクセスし、ID を保護しています。このような従来の ID やアクセス管理プロセスは、もはや安全ではありません。サイバー犯罪者は、無意味になってしまったこのプロセスをものともしません。

そのうえ、デバイスの数がかつてないほど増えています。作業がデスクトップに限定されていたときは、はるかに単純でした。電話、タブレット、ラップトップを使用すれば、私たちはどこででも仕事ができます。これは、攻撃面の拡大と侵入ポイントの増加を意味します。デバイスとアプリケーションが増えれば、保護対象も増えるということです。

すべては、自分が持っているもの (アセット) を把握することから始まります。それに基づいて、アセットを保護するための方法や対策を導入することができます。

それにはどうすればよいでしょうか? 小規模な組織の場合は非常に簡単です。組織で使用しているすべてのデバイス、システム、アプリケーションをリストアップするスプレッドシートを作成します。規模がより大きい組織では、少し複雑になる場合があります。アプリケーションの数を管理するのが難しい場合は、インベントリを自動的に更新する方法を見つけることを検討してください。 

背後に積み上げられた箱があり、クリップボードを使用してインベントリを確認している女性。

リソースのインベントリを作成する

インベントリの作成と管理をどこから、またはどのように始めればよいかわからないかもしれません。心配いりません。Global Cyber Alliance による中小企業向けの Know What You Have ツールキットには、サイバーインベントリ管理を実現可能にするツールとリソースが多数含まれています。

重要なアセットを特定する

アセットを把握すれば、それを保護しやすくなります。ただし、その中でも他より重要なアセットがあります。次のように考えてみてください。非常時に家を出なければならない場合、あなたにとって最も重要なもの、絶対に失いたくないものは何ですか? 同じように、「ミッションクリティカル」または「重要なアセット」であるのはどのシステムですか? このシステムはビジネスの運営に不可欠である場合が多く、サイバー脅威の被害に遭えば多大な影響を及ぼします。おそらく機密情報が保存されています。このようなシステムが侵害されれば、顧客に悪影響を及ぼす可能性があります。重要なアセットは保護しなければなりません。

ガラスケースに入った宝石を守っている警備員と監視カメラ。

重要なアセットを保護する

重要なアセットを特定したところで、次はそれを保護するための方法を見てみましょう。 

データの暗号化: すべての機密データを暗号化することが重要です。このステップは、データを保護し、重要なアセットの安全を確保するために不可欠です。侵害が発生しても、データは読み取り不可能で、機密情報は保護されます。Global Cyber Alliance による中小企業向けの Update Your Defenses ツールキットのツールを使用して、コンピューター上のデータを暗号化できます。

職務の分離: 組織内の特定のユーザーは職務上、複数のシステムやそのシステムに格納されているデータにアクセスする必要があります。ただし、全員がこの職務を負っているわけではないため、職務の分離が強固なサイバーハイジーンの鍵となります。少数のユーザーのみがすべてのシステムへのアクセス権を持つべきで、そのユーザーが誰であるかを知っておくことが重要です。 

最小権限の原則: 業務を遂行するうえでシステムを使用する必要があるユーザーのみがアクセス権を持つようにします。システムを保護するためにできる最善のことの 1 つは、アクセスできるユーザーとそのアクセスの種類を制限することです。システムにアクセスできるユーザーが少なければ少ないほど、サイバー問題の脅威は低くなります。 

アクセス権を持つべきユーザーを特定したら、そのユーザーがどのようにシステムにアクセスするかを確認します。重要なアセットへのアクセスを保護するセキュリティレイヤーはいくつありますか? ビジネス運営に必要不可欠なシステムにアクセスするのに使用する PIN またはパスワードは 1 つだけですか? こうしたシステムには、階層化されたアクセスメカニズムを実装することが重要です。つまり、システム内のセクションまたはアプリケーションごとに認証を行う必要があります。こうしたシステムが監視されていることと、特定のトリガー (適切なログイン情報を持たない誰かがシステムにアクセスしようとするなど) に対するアラートがあることを確認してください。

まとめ

出だしは上々です! アセットを把握し、その中で最も重要なもの保護することが、適切なサイバーハイジーンを実践するうえで非常に重要です。次の単元では、デジタル耐性を向上させ、適切なサイバーハイジーンを実践するために実行できるステップを説明します。

リソース

Salesforce ヘルプで Trailhead のフィードバックを共有してください。

Trailhead についての感想をお聞かせください。[Salesforce ヘルプ] サイトから新しいフィードバックフォームにいつでもアクセスできるようになりました。

詳細はこちら フィードバックの共有に進む