セキュリティリスクの理解

メモ

メモ

Trailblazer の皆さん!

Salesforce には Lightning Experience と Salesforce Classic の 2 つの異なるデスクトップユーザインターフェースがあります。このモジュールは Salesforce Classic 向けです。

インターフェース間の切り替え、Lightning Experience の有効化などについての詳細は、Trailhead の「Lightning Experience の基本」モジュールを参照してください。

学習の目的

この単元を完了すると、次のことができるようになります。

  • 会社が打撃を被るおそれのあるサイバー犯罪の手口について説明する。
  • 侵入者に特に付け込まれやすい人間の行動を挙げる。
  • 犯罪者が情報を入手するために使用するごく一般的な手法を挙げる。

サイバー犯罪が付け入る隙は技術ではなく人

私生活でも仕事でも 1 日中技術を利用していることから、世界各地のサイバー犯罪には誰もが懸念を抱いています。2015 年、Verizon の「データ漏洩調査報告書」で、世界各地のサイバー犯罪に要する年間費用は 1000 億ドルという莫大な金額に上ると推計されています。

脅威の動向が複雑さを極める中、脅威を防止、検出、分析、対応することが一層困難かつ重要になっています。

犯罪者はその戦術を、技術を狙った攻撃から、従業員を標的に人間の基本的な行動を巧みに操る攻撃に移行させています。社内の人々は、ハッカーにとって最も簡単な狙い目となるため、今や最大のセキュリティ脅威となっています。職務や役職に関係なく、社内の一人ひとりがセキュリティにかつてないほどの影響を及ぼします。

従業員の 1 人が連鎖的な手口の隙を与えるだけで、会社のデータが侵害されるおそれがあります。そのため、セキュリティの保護は各人の責務です。このモジュールでは、会社の安全性を高めるために、各従業員が実践すべき基本的な行動をいくつか見ていきます。

人間の通常の行動に付け入る侵入者

人間の本質について考えてみます。犯罪者は、人間のごく一般的な感情や反応に付け入って、ログイン情報を窃取したりネットワークに侵入できることを知っています。
恐怖心: 「情報を教えてくれなければ、あなたのことを上司に報告しますよ。」信頼: 銀行からのもっともらしいメール: 「お客様の口座がたった今閉鎖されました。もう一度開く場合はここをクリックしてください。」道徳心: 「オフィスのドアを開けておいてもらえますか? 腕を骨折しており、荷物が重くて……」報奨: 「弊社では御社の製品への投資を検討しています。差し当たり御社に関するいくつかの質問にご回答いただけますでしょうか?」協調性: 「いつもは財務部門の Bill Stevens 氏に Q2 の収益の最新情報を聞いているのですが、あいにく連絡がつきません。報告書の作成に手を貸してもらえませんか?」好奇心: 「これはすごい! 大蛇が飼育係を飲み込むこの動画を見てみて!」

基本的ないくつかの手法の特定

犯罪の出発点となる以下の手法は、サイバー犯罪者が人間の本質に付け込んで欲しいものを手に入れる一般的なテクニックです。
フィッシングおよび不正ソフトウェア: 信頼できるエンティティになりすまし、ユーザ名、パスワード、クレジットカードの詳細情報などの機密情報を入手しようとします。この手法を使って、デバイスやネットワークの破損または管理を目的とするソフトウェアをユーザにダウンロードさせます。ソーシャルエンジニアリング: セキュリティのコンテキストにおけるソーシャルエンジニアリングとは、人々を巧みに操って、行動を起こさせたり守秘情報を漏洩させたりする手口です。公的情報の悪用: 公開されている情報を、ソーシャルエンジニアリング攻撃の設計、パスワードログインの解読、狙いを絞ったフィッシングメールの作成などに利用します。バッジサーフィン: 正当なバッジ保有者の後について行くか、何らかの話術でバッジ保有者に入れてもらって、セキュリティ保護された区域に侵入します。個人的な会話を盗み聞きします。ごみ箱あさり: リサイクル箱やごみ箱から、適切に廃棄されていない情報を収集します。不正なデバイスのインストール: ワイヤレスルータや USB メモリ・フラッシュドライブをインストールして、セキュリティ保護されたネットワークにハッカーがアクセスできるようにします。