バッドプラクティス #1:「自分には起こらない」
人生に悪いことが起こるかもしれないと考えるのは、誰でも好きではありません。しかし、そのような習慣が、サイバーセキュリティ上の最悪の慣行の1つとなってしまうのはなぜでしょうか。
ユーザのネットワークは常に攻撃を受けています。悪意ある者は抜け道を探し、ボットは開いたポートを探し、大量のフィッシングメールが毎日あなたやあなたのエンドユーザに送られてきます。そして、これらの攻撃のうち、少なくとも1つが成功する可能性は驚くほど高いのです。この時点で、このような攻撃はもっぱらエンタープライズクラスの企業を対象としたものであり、”自分ような小さな会社には起こらない “と言う人もいるかもしれません。しかし、そのような意見は大きな間違いです。
たしかに、サイバー犯罪者は、エンタープライズ級の身代金を求めて、エンタープライズ級の企業を狙っています。しかし、彼らは通常、エンタープライズグレードのサイバーセキュリティポリシーと技術に直面します。一方中小企業について言えば、確かに支払われる身代金の平均額は少ないでしょうが、中小企業が徹底したサイバープロテクションを実施している可能性も著しく低いと言えます。
調査会社によると、中小企業の44%が過去に一度はランサムウェアの被害に遭い、48%が複数回被害に遭っているとのことです。また、約70%の中小企業がサイバー攻撃に対して十分な保護を実施してはいません。
では、このような「自分たちには起こらないだろう」という考えは一体なぜ出てくるのでしょうか。それは、徹底したサイバーセキュリティ・ソリューションを導入するために必要な費用や複雑さが原因です。確かに費用はかかりますし、本格的なSIEMスイートや追加のセキュリティエンジニアのために予算が必要でしょう。そして、複雑さという要素も出てきます。監査、修正、維持、管理、設定、そしてこれを定期的に行う必要があります。
結局、ほとんどの人は「うちには高額で複雑すぎる」で、攻撃は大企業が対象と考え始める傾向にあります。
バッドプラクティス #2:最近の攻撃について無頓着である
さて、あなたは侵入されました。復旧に成功し、結果を修正しました。復旧したのだからこれで十分だと考えがちですが、そうではありません。しかし、そうではありません。この時点でやるべきことは、セキュリティ監査を行い、攻撃を可能にしたネットワークの欠陥を見つけて修正することです。
一方で、他の人に起こっている攻撃について知らないでいるわけにはいきません。ニュースをチェックして、自社のインフラを守るために学べる新しい攻撃パターンがないかどうかを判断しましょう。
バッドプラクティス #3:基本に忠実であること
攻撃は年々進化し、悪意ある者は新たな方法であなたの防御を潜り抜けてきます。そして、サイバーセキュリティ市場はこれに答えを出しています。新しいツールやアプローチが登場し、言うまでもなく、インフラ全体を防御することができる新しい複合プラットフォームも登場します。
本当にすべきでないのは、昔から使っている「古き良き」アプリケーションのままでいることです。
バッドプラクティス #4:不適切なパスワード・セキュリティルール
パスワードポリシーは、ネットワーク、メールサービス、クラウドアプリケーションを狙った攻撃の最初の砦です。このサービスには誰も侵入してこないだろうから、パスワードは『123456admin』にしておこう」などと考えていると、すぐに大惨事に見舞われることになります。
また、パスワード・セキュリティのワースト・プラクティスとして、さらに2つの注意点があります。
●ユーザにパスワードを選ばせる。信じられないかもしれませんが、本当に安全なパスワードを選ぶユーザはいません。大体はユーザの犬の名前になるでしょう。
●ユーザに管理者権限を与える。技術者の中には、トラブルシューティングの際にユーザーに管理者権限を与えてしまい、それを忘れてしまう人がいます。これはセキュリティ上の抜け道ではなく、セキュリティ上の悪夢です。ユーザのマシンを通してネットワーク全体に侵入する絶好の機会なのです。
バッドプラクティス #5:適切な文書化がなされていない
パスワードが安全で強力なものになり、ネットワークがしっかりと保護され、アプリケーションが最新のものになったら、セキュリティポリシーをレベルアップする時です。そのためには、インシデント対応計画や最近発生したインシデントの事後調査など、適切な文書を作成する必要があります。
その理由は簡単です。ランサムウェアの侵入が成功した場合のアクションプランがあるかどうか、自問してみてください。また、エンドユーザは、ランサムウェアの侵入に気づいた場合、どのように行動すべきか、誰に通知すべきかを知っていますか?十分に文書化され、認知されたインシデント対応計画があり、従業員や技術スタッフがそれに基づいてトレーニングを受けていれば、初めての攻撃にいち早く気づき、その影響を最小限に抑えることができます。
バッドプラクティス#6:新技術の無頓着な導入
CEOやCTOの中には、市場に出回っているあらゆる技術トレンドを追いかけがちな人がいます。その結果、ネットワーク、インフラ、アプリケーションのポートフォリオが混沌とし、管理しきれなくなることがあります。何十もの統合、相互に接続された多くのセキュリティルール、安全に管理できる以上のエンドユーザのパスワードなどに直面することになります。
このような状況では、攻撃手段の数が増えてしまいます。しかし、誤解しないでいただきたいのは、新しい技術を恐れるべきではないということです。ほとんどの場合、会社の運用能力を向上させるためには必要不可欠なものです。しかし、適切な計画を立てずに導入すると、事態はコントロール不能に陥ります。
バッドプラクティス #7:監査や評価を行わない
現在では、小規模な組織を運営している場合でも、相互に接続された少なくとも十数個のクラウドやローカルのアプリケーション、ネットワークサービスを管理しています。言うまでもなく、パンデミック後は自宅で仕事をする文化が根付いており、リソースが分散化されています。
そのため、ネットワークに何が起こっているのかを気にしすぎてしまうか、あるいは悪意のある人物が幸運にもインフラの穴を見つけて利用するまで、「設定したらそのまま忘れてしまう」ということになってしまうのです。
バッドプラクティス #8:セキュリティ意識向上のためのトレーニングが行われていない
ネットワークがダウンすると、「いつもDNSが原因だ」と言う人がいます。また、攻撃を受けたときに「いつもエンドユーザが原因だ」と言う人もいます。この両者は、少なくともある程度は正しいと言えます。
多くの攻撃は、エンドユーザがトレーニングを受けていないことを期待して、エンドユーザを狙っています。そのような攻撃には様々な種類があります。例えば、人を騙して破損したファイルをダウンロードさせようとするフィッシングやスピアフィッシングのメール、脆弱なパスワードに対するブルートフォース攻撃、強力なパスワードを発見するためのソーシャルエンジニアリングなどです。
そして、日常的なサイバーセキュリティのトレーニングではなく、自分の仕事をすることに集中している普通の人は、このようなすべてのことに対して準備ができていないのです。ですから、標準や慣行に従わないユーザを馬鹿にしたり、怒ったりするのは不公平です。彼らはそもそもそのような慣行について知らないのです。
適切な教育と定期的なトレーニングがなければ、ユーザはサイバーセキュリティの最大の穴になってしまいます。経験豊富なシステム管理者は、適切なトレーニングを受けたとしても、ほとんどのユーザが物事を忘れたり、混同したりする傾向があることを知っていますが、少なくとも一部のユーザは、次回開くメールに注意を払うでしょう。