Ron Teixeiraによって
過去2年間で、大企業を含む多くの有名なデータ侵害事件がありました。これは大企業だけがハッカーや泥棒の標的にされているという認識を与えるかもしれませんが、現実にはハッカーは大企業が行うリソースやノウハウを持っていないため、ますます中小企業を標的にしています。
しかし、それは中小企業が最新の脅威から身を守るために多額の資金とリソースを費やす必要があるという意味ではありません。実際、最近のSymantec Threat Reportによると、ビジネスが単純なサイバーセキュリティ計画に従っていれば、紛失または盗難にあったデータの82%が回避された可能性があります。
サイバーセキュリティ計画の策定を開始するには、インターネットの脅威と、それらの脅威からビジネスを保護することが最終的な収益にどのように直接影響するかを理解する必要があります。その結果、パートナーが国土安全保障省、連邦捜査局、中小企業管理局、国立標準技術研究所、シマンテック、マイクロソフト、カリフォルニア、マカフィー、AOL、RSAを含むNational Cyber Security Allianceが開発されました。あなたの中小企業がインターネット上で直面するかもしれない5つの脅威、それらの脅威があなたを傷つけることができる方法に関するビジネスケースとあなたがこれらの脅威を回避するためにあなたが取ることができる対策。
上位5つの脅威の概要は次のとおりです。
- #1:悪意のあるコード。 北東製造会社のソフトウェア爆弾は、すべての会社のプログラムとコードジェネレータを破壊しました。その後、同社は数百万ドルを失い、業界での地位から外れ、最終的に80人の労働者を解雇しなければならなくなりました。これが確実に起こらないようにするには、ビジネス内のすべてのコンピュータにウイルス対策プログラム、スパイウェア対策プログラム、およびファイアウォールをインストールして使用します。さらに、すべてのコンピュータソフトウェアが最新のものであり、最新のパッチ(オペレーティングシステム、ウイルス対策、スパイウェア対策、アドウェア対策、ファイアウォール、およびOAソフトウェア)が含まれていることを確認してください。
- #2:盗難/紛失したノートパソコンまたはモバイル機器 昨年、退役軍人局の従業員のラップトップが自宅から盗まれた。このノートパソコンには、2,650万人の退役軍人の病歴があります。結局、ラップトップは回収され、データは使用されませんでした。しかし、VAは、この事件について2650万人の退役軍人に通知しなければならず、その結果、議会の公聴会と世論調査が行われた。これがあなたに起こらないようにするために、それをそこにあるすべてのデータを暗号化することによってポータブルデバイス上のどこにでも運ぶときあなたの顧客のデータを保護してください。暗号化プログラムは、パスワードまたは暗号化キーを入力するまで、データを暗号化するか、部外者に読めないようにします。
- #3:スピアフィッシング 中規模の自転車メーカーは、業務を遂行するために電子メールに大きく依存していました。通常の営業日中に、同社は50,000ものスパムメールとフィッシングメールを受信しました。あるケースでは、ある従業員がIT部門からの「スピアフィッシング」Eメールを受信し、その従業員に「管理者パスワード」を確認するよう求めました。彼はさらに調査し、その電子メールが詐欺であることに気付いた。これがあなたに起こらないようにするために、すべての従業員に上司に連絡するか、単に電話を取って電子メールを直接送った人に連絡するように指示してください。スピアフィッシング攻撃とは何かを従業員に認識させ、自分の受信箱の中に疑わしいと思われるものを探し出すことが重要です。
- #4:安全でない無線インターネットネットワーク ニュース報道によると、ハッカーはワイヤレスネットワークを通じて「史上最大のデータ侵害」を阻止しました。世界的な小売チェーンでは、ハッカーが盗んだ4700万を超える顧客の財務情報が、同社が利用可能な最も低い形式の暗号化によって保護されているワイヤレスネットワークを介して盗まれていました。現在のところ、このセキュリティ侵害は同社に1,700万ドル、特に1四半期だけで1,200万ドル、1株あたり3セントの損害を与えています。これが確実に行われないようにするには、ワイヤレスネットワークを設定するときに、デフォルトのパスワードを変更し、ワイヤレスネットワークをWPA(Wi-Fi Protected Access)で暗号化します。
- #5:インサイダー/不満従業員の脅威。 大手自動車会社の運航を取り扱う会社の元従業員は、辞職して2週間後に重要な雇用情報を削除しました。その事件は、およそ34,000ドルの損害をもたらしました。これがあなたに起こらないようにするために、組織内の従業員の間で重要な機能と責任を分け、一人の個人が組織内の他の従業員の助けを借りずに妨害行為または詐欺を犯す可能性を制限します。
あなたのコンピュータシステムを保護する方法に関するより多くの情報と詳細なアドバイスのために以下を読んでください -
1.悪意のあるコード(スパイウェア/ウイルス/トロイの木馬/ワーム)
2006年のFBI Computer Crime Studyによると、悪意のあるソフトウェアプログラムが報告されたサイバー攻撃の最大数を占めており、1インシデントあたり平均69,125ドルの損失となりました。悪意のあるソフトウェアとは、企業のコンピュータに密かにインストールされているコンピュータプログラムのことです。重要なファイルの削除など、コンピュータネットワークの内部を破壊したり、パスワードを盗んだり、セキュリティソフトウェアをアンロックしてハッカーが顧客や従業員の情報を盗むことができます。ほとんどの場合、これらの種類のプログラムは、強要または盗難による金銭的利益のために犯罪者によって使用されています。
ケーススタディ:
ある北東の製造会社が、NASAと米海軍用の計測機器と計測機器を製造するために数百万ドル相当の契約を締結しました。しかし、ある朝、従業員はオペレーティングシステムにログオンできず、代わりにシステムが「修復中」であるというメッセージを受け取りました。その直後、会社のサーバーがクラッシュし、すべての工場の工具および製造プログラムが廃止されました。マネージャがテープをバックアップするために行ったとき、彼はテープがなくなっていて、個々のワークステーションもまた一掃されていたことを知りました。同社の最高財務責任者(CFO)は、このソフトウェア爆弾によって、会社が自社の製品をカスタマイズしてコストを削減することを可能にするすべてのプログラムとコードジェネレータを破壊したと証言しました。その後同社は数百万ドルを失い、業界での地位から外れ、最終的に80人の労働者を解雇しなければならなくなった。同社は、最終的に有罪の党が逮捕され有罪判決を受けたという事実でいくつかの安らぎを取ることができます。
助言:
- ビジネスのすべてのコンピュータに、ウイルス対策プログラム、スパイウェア対策プログラム、およびファイアウォールをインストールして使用します。
- コンピュータがファイアウォールで保護されていることを確認してください。ファイアウォールは、ワイヤレスシステムに組み込まれた個別のアプライアンス、または多くの商用セキュリティスイートに付属のソフトウェアファイアウォールになります。
- さらに、すべてのコンピュータソフトウェアが最新のものであり、最新のパッチ(オペレーティングシステム、ウイルス対策、スパイウェア対策、アドウェア対策、ファイアウォール、およびOAソフトウェア)が含まれていることを確認してください。
2.盗難/紛失したノートパソコンまたはモバイル機器
信じられないかもしれませんが、盗難や紛失したラップトップは、企業が重要なデータを失う最も一般的な方法の1つです。 2006年のFBI犯罪調査(PDF)によると、盗難または紛失したラップトップは通常、平均30,570ドルの損失をもたらしました。しかし、知名度の高いインシデント、または財務データまたは個人データが紛失または盗難にあったためにすべての顧客に連絡することを要求するインシデントは、消費者の信頼の低下、評判の低下、さらには法的責任
ケーススタディ:
昨年、退役軍人事件局の従業員は、2650万人の退役軍人の病歴を含むノートパソコンを持ち帰った。従業員が家にいない間に、侵入者が侵入して、退役軍人のデータを含むラップトップを盗みました。結局、ラップトップは回収され、データは使用されませんでした。しかし、VAは、この事件について2650万人の退役軍人に通知しなければならず、その結果、議会の公聴会と世論調査が行われた。この現象は政府だけにとどまりません。2006年には、紛失または盗難にあったラップトップに関連してデータ漏えいを引き起こした多数の有名な企業事例がありました。 250,000人のAmeriprise顧客を含むラップトップは車から盗まれました。プロビデンシャルヘルスケア病院システムは、何千もの患者の医療記録を含むラップトップを盗まれました。
助言:
- データをポータブルデバイス上の任意の場所に転送するときに、その中にあるすべてのデータを暗号化することによって、顧客のデータを保護します。暗号化プログラムは、パスワードまたは暗号化キーを入力するまで、データを暗号化するか、部外者に読めないようにします。機密データを含むラップトップが盗難または紛失したがデータが暗号化されている場合、だれもがそのデータを読み取ることができる可能性はほとんどありません。データが紛失または盗難にあった場合、暗号化はあなたの最後の防衛線となります。一部の暗号化プログラムは、一般的な金融およびデータベースソフトウェアに組み込まれています。ソフトウェアのオーナーズマニュアルをチェックして、この機能が利用可能かどうか、またどのように有効にするかを確認してください。場合によっては、機密データを正しく暗号化するための追加プログラムが必要になることがあります。
スピアフィッシング
スピアフィッシングは、あらゆる標的を絞ったフィッシング攻撃を表します。スピアフィッシャーは、特定の会社、政府機関、組織、またはグループ内のすべての従業員またはメンバーに本物のように見える電子メールを送信します。このメッセージは、雇用主、または人事部長やコンピューターシステムの管理者など、会社の全員に電子メールメッセージを送信する同僚からのものであり、次のような要求を含む可能性があります。ユーザー名またはパスワード
実際のところ、電子メールの送信者情報は偽装されているか、偽装されています。従来のフィッシング詐欺は個人から情報を盗むように設計されていましたが、スピアフィッシング詐欺は企業のコンピュータシステム全体にアクセスするために機能します。
従業員がユーザー名またはパスワードで応答したり、スピアフィッシングEメール、ポップアップウィンドウ、またはWebサイトでリンクをクリックしたり、添付ファイルを開いたりすると、ビジネスや組織が危険にさらされる可能性があります。
ケーススタディ:
有名なレースで使用される自転車を製造していた中型の自転車メーカーは、業務を遂行するために電子メールに大きく依存していました。通常の営業日中に、同社は50,000ものスパムメールとフィッシングメールを受信しました。その結果、同社は従業員を不正な電子メールから保護するために多数のスパムフィルタをインストールしました。ただし、多くの詐欺メールはまだ従業員に送信されます。あるケースでは、ある従業員がIT部門からの「スピアフィッシング」Eメールを受信し、その従業員に「管理者パスワード」を確認するよう求めました。彼はさらに調査し、その電子メールが詐欺であることに気付いた。この例では財務上の損失は発生しませんでしたが、簡単に発生する可能性があり、すべてのビジネスにとって共通の問題です。
助言:
- 従業員は、インターネットサービスプロバイダ(ISP)、銀行、オンライン決済サービス、さらには政府機関など、あなたが扱う可能性のある企業や組織からのものであると主張するスパムメッセージやポップアップメッセージには決して応答しないでください。合法的な企業は、電子メールまたはリンクを介して機密情報を要求することはありません。
- さらに、ある従業員が他の従業員からのものと思われるEメールを受信し、パスワードやあらゆる種類のアカウント情報を要求した場合、それらに応答したり、Eメールで機密情報を提供したりするべきではありません。代わりに、上司に連絡するか、単に電話を取って電子メールを直接送信した人に連絡するように従業員に指示します。
- スピアフィッシング攻撃とは何かを従業員に認識させ、自分の受信箱の中に疑わしいと思われるものを探し出すことが重要です。スピアフィッシング攻撃の被害者にならないための最善の方法は、誰かが個人情報を失う前に、そのことが起こっていることを全員に知らせることです。
4.安全でない無線インターネットネットワーク
消費者と企業は、無線インターネットネットワークを急速に採用して実装しています。 InfoTechの調査によると、ワイヤレスインターネットネットワークの普及率は2008年までに80%に達すると見込まれています。ワイヤレスインターネットネットワークは、ネットワークを合理化し、インフラやワイヤをほとんど使わずにネットワークを構築する機会を提供します。無線インターネットネットワークを使用する。ハッカーや詐欺師は、オープンワイヤレスインターネットネットワークを介して企業のコンピュータに侵入し、その結果、顧客情報、さらには機密情報さえも盗む可能性があります。残念ながら、多くの企業は、ワイヤレスネットワークを保護するために必要な措置を講じていません。 2005年のSymantec / Small Business Technology Instituteの調査によると、60%の中小企業がオープンワイヤレスネットワークを使用しています。さらに、他の多くの中小企業は彼らのシステムを保護するために十分に強力な無線セキュリティを使用しないかもしれません。ワイヤレスネットワークを適切に保護しないことは、夜間に会社のドアを大きく開いたままにしておくことに似ています。
ケーススタディ:
ニュース報道によると、ハッカーはワイヤレスネットワークを通じて「史上最大のデータ侵害」を阻止しました。世界的な小売チェーンでは、ハッカーが盗んだ4700万を超える顧客の財務情報が、同社が利用可能な最も低い形式の暗号化によって保護されているワイヤレスネットワークを介して盗まれていました。 2005年には、2人のハッカーが店の外に駐車し、携帯型支払いスキャナ間でデータを解読するために望遠鏡の無線アンテナを使用し、親会社のデータベースに侵入して約4千7百万人の顧客のクレジットカードとデビットカードの記録を得ました。ハッカーは、検出されずに2年以上にわたってクレジットカードデータベースにアクセスしたと考えられています。ワイヤレスネットワークを保護するために最新の暗号化ソフトウェアであるWi-Fi Protected Access(WPA)を使用する代わりに、小売チェーンはWireless Equivalent Privacy(WEP)と呼ばれる古い形式の暗号化を使用しました。わずか60秒でハッキングされました。現在のところ、このセキュリティ侵害は同社に1,700万ドル、特に1四半期だけで1,200万ドル、1株あたり3セントの損害を与えています。
助言:
- ワイヤレスネットワークを設定するときは、デフォルトのパスワードが変更されていることを確認してください。ワイヤレスアクセスポイントを含むほとんどのネットワークデバイスは、セットアップを簡単にするためにデフォルトの管理者パスワードで事前設定されています。これらのデフォルトパスワードはオンラインで簡単に見つかるので、保護するものではありません。デフォルトのパスワードを変更すると、攻撃者がデバイスを制御するのが難しくなります。
- さらに、ワイヤレスネットワークをWPA暗号化で暗号化してください。WEP(Wired Equivalent Privacy)とWPA(Wi-Fi Protected Access)はどちらもワイヤレスデバイスの情報を暗号化します。ただし、WEPには、WPAよりも効果が低いセキュリティ上の問題がいくつかあります。したがって、WPAを介した暗号化をサポートする機器を特に探してください。データを暗号化すると、ネットワークのワイヤレストラフィックを監視できる人がデータを見ることができなくなります。
5.インサイダー/不満の従業員の脅威
不機嫌そうな従業員やインサイダーは、インターネット上で最も洗練されたハッカーよりも危険です。あなたのビジネスのセキュリティポリシーとパスワード管理によっては、インサイダーはあなたの重要なデータに直接アクセスするかもしれず、結果としてそれを容易に盗んであなたの競争相手に売るか、あるいはそれらすべてを削除することができます。インサイダーまたは不満を抱いた従業員が重要な情報にアクセスしてあなたのコンピュータネットワークを損傷することを防ぐためにあなたがとることができるステップと対策があります。
ケーススタディ:
大手自動車会社の運航を取り扱う会社の元従業員は、辞職して2週間後に重要な雇用情報を削除しました。その事件は、およそ34,000ドルの損害をもたらしました。報道によると、従業員は彼が予想していたよりも早く会社から解放されることに憤慨していた。伝えられるところでは、同社のファイアウォールは危険にさらされ、加害者は従業員データベースに侵入し、すべてのレコードを削除しました。同社の声明によると、不満を抱いた元従業員は、従業員データベースを保護しているファイアウォールのログインおよびパスワード情報を知っていた3人だけのうちの1人だった。
助言:
あなたの会社がインサイダーまたは不機嫌な従業員の脅威から身を守る方法はいくつかあります。
- 組織内の従業員間で重要な機能と責任を分担し、1人の個人が組織内の他の従業員の助けを借りずに妨害行為または詐欺を犯す可能性を制限します。
- 厳密なパスワードおよび認証ポリシーを実装します。すべての従業員が文字と数字を含むパスワードを使用し、名前や単語を使用しないでください。
- さらに、必ず90日ごとにパスワードを変更してください。最も重要なのは、従業員が退職した後で、従業員のアカウントを削除するか、パスワードを重要なシステムに変更することです。これにより、不満を抱いた従業員が退職後にシステムに損傷を与えることが難しくなります。
- 誰かを雇う前に、適切な注意を払ってください。あなたが優秀な人材を採用していることを確認するために、身元調査、教育的調査などを行います。
著者について: NCSA(National Cyber Security Alliance)の事務局長として、Ron Teixeiraは、サイバーセキュリティ意識向上プログラムの全般的な管理と全国的な教育活動を担当しています。 Teixeiraはさまざまな政府機関、企業、および非営利団体と緊密に連携して、インターネットセキュリティの問題に対する意識を高め、安全で有意義なインターネットエクスペリエンスを確保するためのツールとベストプラクティスでホームユーザー、中小企業、教育界を強化しています。
9コメント▼
