私たちはセキュリティに関して同じ間違いを犯し続けているため、データ侵害を防ぐことはほぼ不可能です。この記事では、その中でもエキスパートが特に大きい問題であると指摘する5つの間違いとそれらを正さなければならない理由について説明します。

今日では、大きな損害をもたらすサイバー攻撃とデータ侵害が増加傾向にあるため、それらの詳細を確認し、把握することが重要となっています。また企業は、デジタルトランスフォーメーションを加速させて競争力を維持しつつ、ネットワークを保護しなければなりませんが、これについても詳細を確認し、把握することが重要です。
しかし多くの企業は、侵害を防げるときでさえハッカーの被害に遭うことが少なくありませんが、それはなぜなのでしょうか。
ここからは、企業がなぜこのような状況に対応できていないのかについて、サイバーセキュリティのエキスパートが指摘する5つの理由を見ていきましょう。

1. 素早くパッチを適用していない。

企業はすべてのサイバー攻撃を阻止することはできません。大部分の企業ネットワークは規模が大きすぎ、攻撃者に非常に多くの侵害の機会をもたらしていますが、ネットワークアーキテクチャーのセキュリティの基礎的な部分を適切に実装していなければ、ネットワークが回避可能な攻撃を受けやすくなってしまいます。
古いソフトウェアやパッチを適用していないオペレーティングシステムをはじめとする、基本的な「ネットワークセキュリティ対策」の欠如は、企業を無用なリスクにさらします。一部の企業は、今でもWindows NTなどの古い(場合によってはすでにサポート対象外になっている)オペレーティングシステムを使用しており、それがサイバーセキュリティやコンプライアンスの問題につながる可能性があります。
すべてのソフトウェアのアップデートとパッチの適用を確実かつタイムリーに行うには、強力なプロトコルを導入することが重要です。また、クリティカルなデータがネットワークのどこにあるのか、そしてネットワークの規模がどの程度なのかを把握しておく必要もあります。
コロンビア大学のコンピューターおよびネットワークセキュリティ担当ディレクターであるJoel Rosenblatt氏は、どのITプロフェッショナルもシステムのアップデートやパッチがネットワーク内の何かを破壊し、ITシステムに被害をもたらす可能性があることを懸念していると述べています。しかし同氏は、今のままではネットワークにさらに大きな問題がもたらされ、ソフトウェアの脆弱性が見つかったその日に仕掛けられる攻撃である、ゼロデイエクスプロイトの被害に遭う可能性があると警告しています。
同氏によると、一般的にIT部門が展開したパッチは数日後に悪用されており、ハッカーは、すべてのユーザーと同じソフトウェアアップデートを入手して脆弱性をリバースエンジニアリングすることでシステムに侵入する方法を見つけ出しています。RAND Corporationのレポートでは、エクスプロイトの大部分が6～37日で完全に機能するようになると述べられていますが、ハッカーはこの時間を24時間にまで縮めることができます。
新しいパッチをインストールしておらず、社内の誰かが次に受け取るメールの送信者が攻撃者だった場合(悪質な添付ファイルを含むフィッシングメールが送られてきた場合)、ゼロデイエクスプロイトの被害に遭うかもしれないと同氏は述べています。そしてこのような侵害は、ネットワーク全体に広がる可能性があります。

2. クリティカルなデータがどこにあるのかを把握していない。

賢明な企業は、組織の最も重要な資産であるデータの保護を強化するためにセキュリティ戦略を調整する必要があることを認識しています。そしてマネージド・ディテクション & レスポンスプロバイダーであるeSentire社でCEOを務めるKerry Bailey氏によると、そのためには最もクリティカルなデータがどこにあり、誰がそれにアクセスしているのかを十分に把握しておかなければなりません。
同氏は、エンタープライズネットワークのセキュリティ機能とデータの保存場所、そしてデータに関連するリスクを把握しておくことが特に重要であると述べるとともに、「今日の企業は、アプリケーションを開発したりサービスを提供したりする多くのサードパーティベンダーと連携する傾向にあるため、そうしたベンダーが(ネットワークで)何を行っているのかを十分に把握しておく必要もある」と付け加えています。
また、データを適切に保護して管理するには、エンタープライズエンドポイントを監視する必要もあると同氏は指摘しています。新たな方法でネットワークに侵入してコードを実行しようとする攻撃者が増えつつあるため、潜在的な攻撃を特定するには、社内全体の異常な行動を絶えず監視するソリューションを使用することが不可欠です。
たとえば、コロンビア大学のRosenblatt氏は、同大学のネットワークへのログインを監視し、IPアドレスに基づいて(仮想プライベートネットワーク経由で接続しているものも含む)各ログインがどこから行われているのかを特定するシステムを使用しており、同大学のITスタッフは、短時間に複数の国からログインが行われていることを確認すると、アカウントが侵害されているとみなしています。
同大学では、金融取引にTwo-Factor認証を使用することを義務付けた結果、攻撃者が何らかの方法でパスワードを取得した場合でも、2段階目か3段階目の認証によってアカウントが引き続き保護されるようになったと同氏は述べています。

3. ウイルス対策ソフトウェアに依存しすぎている。

ネットワーク境界のセキュリティにすべてを依存するのはリスクが高く、ファイアウォールだけでなく、メールも企業への侵入口になる可能性があります。
多くのサイバー犯罪者は、貴重なデータへのアクセスを避けて、たった1通のフィッシングメールで攻撃を成功させています。フィッシング攻撃は企業の大部分のサイバーセキュリティ対策をすり抜け、1人のユーザーに不正なリンクをクリックさせるか、開いてはならない添付ファイルを開かせます。
悪意のあるファイルは通常、市場で手に入る大部分のセキュリティ対策プログラムに表示されますが、ソフトウェアで検出されなければ面倒な状況に陥る可能性があります。Rosenblatt氏は、すべてのウイルス対策ソフトウェアのプログラムが同じよう作られているわけではないと指摘しており、検出率が高いウイルス対策アプリケーションもあれば、攻撃を防ぐことに長けたものもあります。
これについては解決策として、企業のメールシステムがすべての実行ファイル(サイバー攻撃の手段として用いられることが多い、一般的にファイル拡張子が.exeのファイル)を受け入れないようにする必要があります。実行可能ファイルをブロックすると不便なこともあるかもしれませんが、最終的にはネットワークの安全性が向上します。同氏によると、組織がドキュメントを受け取る方法は他にも数多くあり、たとえば、それぞれのユーザーや従業員が送信者と個別に申し合わせをしてDropboxでドキュメントを受け取るといったことが可能です。

4. サイバーセキュリティを意識する文化を育んでいない。

大きく報道されるサイバー攻撃は、その多くが有名な企業で起きたものですが、中小企業が攻撃の対象になることはないと考えるのは間違いであり、実際には、多くのサイバー攻撃者があらゆる経済セクターのネットワークに侵入しようとしています。
自社のセキュリティを確保するには、サイバーセキュリティを意識する文化を築くのが最善の方法であり、すべての従業員が脅威を意識するとともにサイバー攻撃を阻止することに誇りを持たなければなりません。そしてeSentire社のセキュリティ担当CTOであるSean Blenkhorn氏は、自社のリーダーがサイバーセキュリティをビジネスの優先事項として扱うよう働き掛けることが重要であると述べています。

セキュリティを意識する文化を築くうえでのベストプラクティスは、以下のとおりです。

• 最新の脅威に関する情報を絶えず入手する。情報が不足している中で安全を願うのではなく、危険を知って何らかの対策を講じるべきです。
  
  
• 許容可能なリスクを理解する。すべてのリスクを排除することはできませんが、リスクを許容可能なレベルにまで低減することは可能です。
  
  
• 十分にコミュニケーションを取る。これには、従業員との公式なコミュニケーションと非公式なコミュニケーションの両方が含まれます。
  
  
• 成功(特に脅威を阻止したこと)を称える。

企業のビジネスリーダーと多くの従業員は、サイバーセキュリティの技術的詳細のすべてを知る必要はないように思われますが、攻撃を阻止したり潜在的な攻撃に対処するための十分なリソースプランニングを行ったりできるよう、潜在的な脅威に関する知識を持っていなければなりません。これに関しては、経営幹部から受付に至るまでの社内の全従業員に脅威を特定して最初の段階でその発生を阻止する方法を教える、トレーニングセッションや教育セミナーを行うことで可能になります。

5. ハッキングを当然のこととして 受け入れていない。

最後に、企業はいずれハッキングされるということを受け入れる必要があるとBlenkhorn氏は述べており、いつかハッキングを受けたときに適切に対応できるよう計画を立てておくことが重要です。各担当者の役割を明確にしたサイバーセキュリティインシデント対応計画が不可欠であり、企業はこのような計画を立てておくことでより迅速に体制を立て直せます。
企業はビジネスオペレーションの中心にセキュリティを据える必要があるとeSentire社のBailey氏は述べており、企業のネットワークが攻撃を受けて数日間オフラインになると、その代償は非常に大きなものになる可能性があります。
そしてこれについて、同氏は次のように述べています。「優れたセキュリティは、企業の差別化要因になる可能性があります。デジタルトランスフォーメーションを推進するために最善を尽くしてきた企業はこれから、それと同じようにセキュリティを優先事項として考えていかなければなりません」。