ハッカーは、常にビジネスネットワークにアクセスする方法を探しています。これは多くの場合、ソーシャルエンジニアリング (社員を騙してうかつに個人情報を共有させ、スパイウェア、マルウェア、ウイルスをインストールさせること) を通じて行われます。
アバストのエントリポイントインフォグラフィックが示すように、従来の職場環境には、ビジネスネットワークにアクセスするために使用される恐れがある、さまざまなエントリポイントが存在しています。しかし、この 5 年間で多くのことが変化しました。パンデミックによって普及した世界的なハイブリッドワークへのシフトにより、どのような新たな脆弱性が露呈しているのでしょうか?
それを解明するために、アバストは 3 つの現代の職場環境 (従来の職場、在宅勤務、外出先での勤務) を調査し、現代のハイブリッドな職場環境における最も一般的な攻撃のエントリポイントを特定しました。
リモートワークと、オンライン上でのコミュニケーションやファイル共有のニーズの増加が重なり、ビジネス用のデバイスと個人用のデバイスの境界線がますます曖昧になっています。一般的な解決策は、BYOD ポリシーを導入することです。このポリシーのもと、個人が所有するデバイスに十分なセキュリティソフトウェアがインストールされており、社員がパスワードや物理的なセキュリティに関する会社のポリシーに従う限り、個人が所有するデバイスの使用が許可されます。
残念ながら BYOD は重大なリスクを生み出しています。例えば、安全でない Wi-Fi に接続したり、セキュリティパッチをインストールしていなかったりするなど、通常ベストプラクティスに従っていません。そのため、悪用するのに十分な脆弱性が生まれる恐れがあります。これらの脆弱性は、職場やビジネスだけでなく、個人のサイバーセキュリティにもリスクをもたらす可能性があります。
社員がどこで仕事をしているかにかかわらず、人為的ミスはデータ漏洩の一般的な原因であることに変わりはありません。このような理由により、社員は最も攻撃の標的になりやすいエントリポイントのひとつです。フィッシングやソーシャルエンジニアリングという方法でユーザーを騙し、悪意のあるリンクをクリックさせたり、機密情報を共有させたりする手口です。
ここでの最大のリスクは、個人が操作されていることに気づかない可能性が高いことです。これにより、ランサムウェアやその他のマルウェアがネットワーク全体に広がるのに十分な時間が発生してしまいます。
社員は、不審な活動を特定し、それを迅速に報告する方法について研修を受ける必要があります。さらに、ビジネス用ウイルス対策やマルウェア対策がインストールされたデバイスのみを使用して、不正アプリのインストールやその他の脅威を検知するためのスキャンを実行してこれらを防ぎ、他の方法では見過ごされがちな問題を把握する必要があります。
ハッカーにとってウェブサイトは、データ豊富なビジネスネットワークへの侵入経路です。標的にされた企業のウェブサイトがハッキングされると、マルウェアが展開されたり、データが盗まれてソーシャルエンジニアリングに利用されたりします。通常は大規模なサイトが標的にされることが多いものの、小規模な企業も自社データには標的にされるほどの価値はないはずなどと油断してはいけません。
ウェブサイトの攻撃として、大量のトラフィックによってサイトのパフォーマンスを中断させる分散型サービス拒否 (DDoS) が挙げられます。
SQL インジェクション攻撃は、ウェブサイトに悪意のあるコードを挿入することで、セキュリティを迂回して、ログイン情報や支払い情報などのデータを盗みやすくし、ユーザーをサイトの偽バージョンにリダイレクトさせます。このように多様な動機があるため、ウェブサイトを保護することは極めて重要です。研修やファイアウォールと並行して、厳格なアクセス管理ポリシーを導入して、頻繁にアクセスを必要とする社員だけが変更を行えるようにすべきです。ペネトレーションテストは、サイバー攻撃のシミュレーションを行うために使用され、ネットワークのセキュリティパフォーマンスを評価し、脆弱性を特定するのに役立ちます。
日常生活におけるスマートデバイスの出現は劇的なものでした。スピーカーの音声アシスタントからプリンター、ドアベル、カメラ、サーモスタットに至るまで、多くの場合その利便性はセキュリティよりも優先されています。そのため、IoT デバイスが攻撃者によるスパイ活動の標的になる恐れがあります。ひとつのデバイスがハッキングされると、サイバー犯罪者が同じネットワークに接続されている他の IoT デバイスを操作できるようになる可能性があります。
パスワードのセキュリティは、データ漏洩を防ぐための極めて一般的で、常に推奨される対策です。しかし、多くの場合、複雑な要件によってそのセキュリティが損なわれています。社員は勤務している際は、覚えにくいパスワードをリセットしたり変更したりせずに、素早くログインしてプロジェクトに取り組みたいと考えています。その結果、短くて覚えやすい脆弱なパスワードを作成したり、パスワードを共有したり、紙に書き留めたりなど、悪い習慣がいまだに蔓延しています。
研修は意識を高めるために役立ちますが、この場合、セキュリティと利便性を両立させる実用的な解決策が必要になります。
パスワード マネージャーは、「パスワードが多すぎる」という問題に対する優れた解決策です。パスワードの強度を管理し、アクセスを安全に共有して、新しいパスワードを自動的に生成することで、サインインプロセスを迅速化し、アカウントを安全に保つことができます。さらに、ユーザーは、パスワード マネージャー自体のパスワードを 1 つ覚えるだけで済みます。
多要素認証は、可能な限り、強力なパスワードと並行して使用する必要があります。パスワードに加えて、デバイス、位置情報、または生体認証によってユーザーの本人確認を行います。
クラウドストレージやクラウドベースのツールは、ビジネスユーザー、特にリモート環境で働く社員を抱える企業に多くのメリットをもたらします。サードパーティのクラウドサービスは、SaaS (サービスとしてのソフトウェア) としてよく知られており、オンサイトでインストールやメンテナンスを行うのではなく、インターネット接続を通じてソフトウェアを提供しています。このサービスのメリットとして、より高レベルの処理能力へのアクセス、手頃な料金、ソフトウェアやツールへのリモートアクセスなどが挙げられます。
しかし、安全なネットワーク外に保存されているデータは、データ漏洩のリスクや、最悪の場合、サーバー攻撃のリスクにさらされる恐れがあります。また、サードパーティプロバイダを導入すると、データ使用量やポリシーを管理できなくなります。
クラウドベースのデータを保護するには、多要素認証とアバスト ビジネス ハブのような効果的なクラウドセキュリティソリューションが不可欠です。
安全でない Wi-Fi に接続すると、さまざまなリスクがともないます。暗号化しなければ、オンラインで行う活動がすべて見られてしまいます。これには、閲覧履歴、ログイン情報、データ転送が含まれます。この情報があれば、ハッカーは機密データを盗み、業務用アカウントにアクセスすることが可能になります。また、個人情報窃盗により、個人情報が同僚へのソーシャルエンジニアリング攻撃に利用される可能性もあります。
安全でない Wi-Fi は、電車の駅や空港、「無料 Wi-Fi」や「ホットスポット」と表示されているカフェなどでよく見かけます。この種の接続は、最後の手段として、閲覧のためにのみ使用されるべきです。トランザクションやログインが必要なサイトでは決して使用しないでください。
ユーザーは安全性が証明されていない接続機能を使用するよりも、外出先では携帯電話やタブレットを使用して安全な接続を確保する必要があります。
正しいセキュリティ環境が整っているか、自宅の Wi-Fi も注意深く確認する必要があります。
ハイブリッドな職場環境では、ドキュメントを直接共有する機能は、コラボレーションと生産性の向上に不可欠です。しかし、ファイルが暗号化されずに送信された場合、データ漏洩の可能性が高まります。
新たな脅威に対してファイルを保護するためのツール (ファイアウォールなど) やプロセスが効果的であることを確認するのは IT 部門の責任ですが、個人も積極的に行動しなければなりません。社員は、回避可能なミスを防ぐために、ファイルの送受信には許可されたセキュリティツールだけを使用するなど、セキュリティ上のベストプラクティスに従う必要があります。
転送時の暗号化の詳細を見る。
シャドー IT とは、認可されていないデバイスやソフトウェアが、IT 担当者に認識または許可されずに社内ネットワークに接続されることによって引き起こされるセキュリティ脅威のことです。アバストの 2021 年モバイルワーカーレポートで取り上げたように、脅威は増大しています。
シャドー IT は多くの場合、意図的ではなく、社員が個人的に所有するデバイスで業務用アカウントにログインしたり、業務用ノートパソコンで未承認のソフトウェアやツールを使用したりするといった単純なことです。
パンデミック時のリソース不足がシャドー IT の普及を後押ししました。リソース不足を理由に、企業が社員に対し個人が所有するデバイスの使用を推奨したのです。
理由が何であれ、IT 担当者が認識していないデバイスの接続により、ネットワークの攻撃対象領域が拡大しており、ハッカーが悪用できる新たなエントリポイントが生み出されています。
ネットワークセキュリティを見直す場合、検討すべき大きな側面は 2 つあります。従来の職場環境では、物理的なネットワークハードウェアは攻撃を行うための一般的なエントリポイントです。これにはルーター、サーバー、物理的なストレージが含まれます。これらの要素を安全に保つには、物理的なセキュリティとソフトウェアベースのソリューションの組み合わせが必要になります。
ランサムウェアからマルウェア、フィッシングまで、ネットワーク攻撃の種類は増加し続けており、手口も進化し続けています。これらの手口を通して、ルーターやその他の物理的要素に使用されるアカウント情報が収集されたり、ネットワークのアクセス制御がハッカーに渡ったりするおそれがあります。
2 つ目の種類は、ネットワークトラフィックに対するソフトウェアベースのセキュリティです。これには、アンチウイルス、サーバーセキュリティ、ファイアウォールが含まれます。これらの対策を実装し、定期的にバックアップを行うことで、データ漏洩や攻撃の影響を最小限に抑えることができます。
もう一つの共通の懸念事項は、中間者攻撃です。この攻撃は検知されることなく、長期にわたり通信を傍受し、さらには安全な情報を盗難の危険にさらします。そのため、定期的にネットワークやサーバーのセキュリティソフトウェアにパッチを当てることは、検知を回避する攻撃を特定するために極めて重要です。
デバイスのセキュリティはソフトウェアに限定されるものではありません。外出先で仕事をする社員にとって、物理的なセキュリティは重大なセキュリティリスクとなります。最も一般的な例として、携帯電話を紛失したり、ビジネス用のノートパソコンを電車に置き忘れたりすることが挙げられます。
物理的なセキュリティには機密性も含まれ、これは外出先でデバイスを使用する際に重要な考慮事項となります。他の乗客に画面を見せないようにし、仕事上の話や機密情報にかかわる話題について大声で話さないようにすることで、セキュリティを保つことができます。この 2 つの行為は、スピアフィッシングに利用される恐れのある情報を提供してしまう可能性があります。
個々のユーザーに依存するセキュリティ上のエントリポイントについて、リモートワークにおけるセキュリティリスクと期待に関する研修をすべての社員に対して行う必要があります。
パンデミック中、ほとんどの企業がリモートワークの迅速な導入を強いられましたが、社員が働く場所に関係なく、ビジネスセキュリティの基本は同じです。「職場」はもはや単一の物理的な部屋や建物に限定されるものではありません。顧客の信頼、収益、生産性を維持し、サイバー攻撃発生時のダウンタイムを最小限に抑えるために、ネットワーク境界線のセキュリティを確保することは、企業が取るべき最も重要な対策のひとつであることに変わりはありません。
あらゆる規模の企業にとって、ハイブリッドワークは課題となっていますが、通常その理由にはさまざまなものがあります。小規模な企業には、大規模な企業が使用できる財源がありません。さらに監視や管理を行う社員やデバイスの数も限られていることもあります。
成功の鍵は教育です。ベストプラクティスと並行して、社員に対し最低限のセキュリティ研修を行うことで、社員は不審な活動に素早く気付くことができるようになり、回避可能な脅威を最小限に抑えることが可能になります。アバストのサイバーセキュリティに関する基礎クイズは、チームのセキュリティに関する知識レベルを把握し、さらに研修が必要となる領域を特定できる優れた方法です。
中小企業やホームオフィス向けのアバスト ビジネスサイバーセキュリティソリューションを使用することで、このようなエントリポイントの脅威やその他の複雑なサイバー攻撃からビジネスを守りましょう。
© 2024 Gen Digital Inc.
All rights reserved.
