インターネットは絶えず成長および改善されているため、世界中の人々と自由に通信できるようになりました。 Wi-Fiの普及により、インターネットにも接続し、ネットワーク経由でデータを送信するデバイスの作成を開始しました。 これは素晴らしいことですが、コインの裏側は、地球上のインターネットに接続しているすべての人が、独自のネットワークと独自のデータを持っているため、盗難の被害者になる可能性があるということです。



これらの脆弱性に対する認識を高め、一般の人々を教育することで、インターネットを少し安全な場所にできると信じています。 ハッカーの雇用、従業員のフィッシングのシミュレーション、サイバー保険などの効果的なIB対策について学習することは、企業にとって有益です。



10月、 National Cyber​​ Security Awareness Monthが祝われたとき、私たちは毎日1つのアドバイスをツイートしました。 現在の環境で自分自身を保護する方法に関する追加の説明を含む31のヒントの完全な選択を以下に示します。

基本的なルール

1.自分や他の人について投稿する内容に注意してください。

インターネットで他の人について話す方法は、あなた自身の性格の多くを明らかにします。 さらに、法的な問題が発生したり、盗難やハッキングに対して脆弱になることさえあります。 人々はあなたがインターネットで何を言っているかを追跡することができます-したがって、今週休暇に行くと言ったら、潜在的な強盗があなたの住所を見つけるのは簡単です。 NDA、雇用契約、およびあなたが署名したその他の契約の違反について注意を払う必要があります。 また、他人の個人情報の開示や証拠のない人物に対する公の告発は、法律違反になる可能性があります。

2.会社が収集するデータを理解し、それが保護されていることを確認します

ビジネスデータを安全に保つために、監査を実施し、それらのどれが公開情報であるか（したがって、慎重に保護すべきではない）を決定する必要があります。リークが発生した場合（いくつかのセキュリティ対策を確立する必要があります）、最後に、どのデータが最も重要かつ機密であるか。 後者のカテゴリのデータは、盗難の場合にビジネスに大きな影響を与えます。また、従業員とパートナーにとって最も厳しいアクセス権で可能な限り確実に保護する必要があります。

3.複数の認証要素を使用する

認証とは、このシステムまたはアプリケーションのシステムへのアクセスを許可する前に、提供された資格情報を許可されたユーザーの既存のデータベースと比較することにより、識別データ（ユーザー、コンピューター、またはその他のデバイス）を確認する行為です。 たとえば、ユーザー名とパスワードを入力してメールアカウントにアクセスします。 ただし、ますます信頼性が低下しているパスワードのみに依存する代わりに、認証にいくつかの要素を使用することをお勧めします。 これらの要素には、ユーザーの秘密（ユーザー名/パスワード、秘密の質問への回答など）、物理的特性（デジタル証明書、スマートカードなど）、および特定の生体認証要素（指紋、顔認識など）があります。

4.サイトでHTTPSを有効にします

HTTPSを有効にするには、 SSL / TLS証明書がサーバーにインストールされます。 この証明書は、Webページに入力された個人情報または財務情報であるか、ページのコンテンツであるかにかかわらず、ブラウザとサーバー間のすべてのデータを暗号化します。 このようにして、情報は部外者から保護されます（たとえば、侵入者や状態監視から）。 SSL証明書は、ブランドをWebサイトにリンクすることもできます。これにより、訪問者は、サイトが詐欺師（フィッシングサイトの場合）ではなく、実際に会社に属していることを確認できます。 EV SSL証明書は、ブラウザーのアドレスバーを緑色に着色し、会社の名前を表示することにより、これを明確に示しています。

5.強力で一意のパスワードを使用します。 良いパスワード：34bGUI7＆89 @））。 悪い：12345またはEddy1

多くの「黒人」ハッカーは、ハッキング後に取得したデータを販売しています。 数百万人ではないにしても、数千人のユーザーとそのパスワードに関する情報を含む。 各アカウントで同じパスワードを使用する場合、ハッカーがすべてのシステムにアクセスするのは簡単な作業です。 または、ハッカーはブルートフォースを使用してパスワードを取得できます。 パスワードが長く、さまざまな文字で構成されており、辞書の単語が含まれていない場合、これははるかに困難です。 パスワードマネージャーを使用して、各サービスの一意のパスワードを記憶します。

6.すべてのソフトウェアを更新する

ハッカーは、ビジネスで使用するソフトウェアの新しい脆弱性を常に探しています。 それらを見つけることは、Windowsネットワーク上のパスを見つけるのと同じくらい簡単です。 同時に、ソフトウェア会社自身がこれらの脆弱性を修正するパッチをリリースするために一生懸命に働いているので、アップデートがリリースされたらすぐにソフトウェアをアップデートすることが非常に重要です。

7.すべてのデータをバックアップする

バックアップにより、データが失われた場合にファイルを復元できます。 ハッカーがすべてに一度にアクセスできないように、常に物理的に離れた別の場所にデータを保存する必要があります。 また、バックアップは定期的に更新する必要があります。

8.インターネットゲートウェイにファイアウォールをインストールする

ファイアウォールは、プライベートネットワークへの不正アクセスを防ぐように設計されています。 一連のルールを設定して、許可するトラフィックと禁止するトラフィックを決定できます。 優れたファイアウォールは、着信トラフィックと発信トラフィックの両方を監視する必要があります。

職場での安全文化

9.職場で自分のデバイスを使用するためのルールを設定する

一部の企業では、従業員が個人の携帯電話を仕事に使用することを許可しています。 これにより生産性と効率が向上しますが、これらのスマートフォンがハッキングされて企業ネットワークへのアクセスに使用される可能性があるため、攻撃の機会が広がります。 BYOD （Bring Your Own Device） ルールは、モバイルテクノロジーの使用とそのような攻撃のリスクを軽減する方法について従業員を教育するのに役立ちます。

10.インシデント対応戦略を作成する

インシデント対応戦略は、攻撃の事前準備に役立ちます。 100％のセキュリティを保証することはできませんので、サイバー攻撃の被害者になった場合に備えてバックアップ計画を立てることをお勧めします。 これにより、十分に迅速に対応し、侵入者が機密データを取得するのを防ぐことができます。 攻撃が予想よりも強い場合は、報道機関や顧客に警告する時間があります。 また、対応計画を実施する担当者がいることを確認する必要があります。

11.パスワードを使用するための従業員のトレーニング

すべての従業員は、パスワードを使用した適切な作業のトレーニングを受ける必要があります。 含む：

• パスワードを紙に書き留めないでください （盗まれることもあります）。
• 暗号化されていない場合、オンライン通信チャネルを介してパスワードを送信しないでください。
• 強力なパスワードと企業のパスワードマネージャーを使用します。
• 会社のさまざまなアプリケーションや個人的な目的で同じパスワードを繰り返し使用しないでください。

12.従業員がインターネットを検索するときにHTTPSで文字Sの存在を確認することを確認します

従業員は時々、企業のITネットワークを使用してサイトにアクセスし、個人または企業で使用するサービスに登録します。 情報を送信する前に、ブラウザのアドレスバーにHTTPS記号があるかどうかを常に確認する必要があります。 サイトが安全でない場合、そこに情報を転送することはできません。



注：フィッシングサイトについて従業員に伝えることも重要です（下記のヒント15を参照）。 詐欺師がドメイン検証（DV）SSL証明書を使用して、サイトをよりリアルで信頼性の高いものにするケースがありました。

13.安全な電子メール通信を使用し、フィッシング攻撃のリスクに関するトレーニングを実施する

メールは依然としてサイバーセキュリティの弱点であり、最も重要な脅威の2つはハッキング/データ漏洩とフィッシングです。 外出先やストレージでメッセージを暗号化できる電子メール保護ソリューションを探してください。メッセージの発信元を確認できるため、従業員が偽のメッセージを識別してフィッシングの被害に遭わないようにするのは簡単な作業になります。 エンドユーザーの使いやすさも考慮すべき重要な要素です。

14.リーダーはサイバーセキュリティ文化を広めなければならない

すべての企業戦略において、これらの変更を最初に受け入れる必要があるのは経営陣です。 彼らが例を設定すると、会社全体がそれらに従います。

15.従業員を健全な状態に保つためのフィッシングのシミュレーション-興味をそそる方法で

フィッシングシミュレーションテストを編成して、従業員の準備状況をテストします。 これらのトレーニングの効果を測定するために、フィッシング攻撃のリスクに関するトレーニングの前後にテストを実施する必要があります。

サイバー犯罪対策

16.迅速な対応チームの作成

インシデント対応計画に従う責任者は常に1人必要ですが、彼を支援するチームが必要になります。 たとえば、プレスリリースを発行してプレスと通信するPRスペシャリスト、顧客と通信するセールス担当者などです。 組織の規模と攻撃の規模に応じて、適切な人がチームに参加していることを確認する必要があります。

17.インサイダー脅威分析を実行する

インサイダー脅威分析は、組織内から来るITインフラストラクチャに対する潜在的な脅威を明らかにします。 現在の従業員から元従業員、請負業者、ベンダー、サードパーティのデータプロバイダー、パートナーまで、誰でもこのような脅威をもたらすことができます。

18.迅速な対応のための指示を書く

サイバー攻撃が発生した場合に迅速かつ効果的に対応できるように準備してください。 計画を会社の従業員に送信し、その実施の責任者を任命します。

19.外部コミュニケーションの計画の概要

欧州GDPRでは、ハッキングに気づいたらすぐに適切な監督当局に通知する必要があります。 監督者はあなたの国にいなければならず、おそらく政府機関です。 また、顧客、請負業者、従業員など、インシデントの影響を受ける可能性のある全員とのコミュニケーションを計画する必要があります。

20.対応計画をスタッフに通知します。

計画と考えられる攻撃の種類を知ることは、機密性を維持し、情報漏えいのリスクを最小限に抑える責任を従業員が思い出すのに役立ちます。

21.過去の過ちから結論を引き出す

ハッキングしてインシデント対応措置を実行した後、すべての結果が排除され、通常の運用に戻ることができる場合、監査を実施する必要があります。 このイベントの一環として、現在のインシデント対応計画について話し合い、初めて行ったミスに基づいて変更を加えるかどうかを決定できます。 同じ脆弱性が再び悪用されないように、手順とコミュニケーションを変更するためにIT部門に連絡する必要がある場合があります。

22.常に脆弱性を想定する-決して100％保護されている

情報セキュリティ戦略に多くのお金と時間が費やされているという事実は、システムの保護を保証するものではありません。 ネットワークに適用できる新しい脆弱性、またはハッキングできる新しい従業員が常に存在します。 ハッカーには内部に入る機会があると常に想定する必要があります。

情報セキュリティ、プライバシー、セキュリティ戦略の未来

23. ITインフラストラクチャの保険

通常、従来の保険はデータ損失をカバーしていません。 そして、ここでサイバー保険のポリシーが有効になります。 また、ダウンタイム、つまりサービスのダウンタイムによる損害を保険でカバーするようにしてください。 さらに、他の人のデータの保存や、規制手続きやハッキング通知の実装にかかる費用により、損害を受ける可能性があります。

24.各「モノ」（デバイス、センサー、システムなど）は識別子を受け取る必要があります

より速く、より効率的で、より生産的なシステムが利用可能になると、企業はデータを共有する一般的なネットワークに多くのデバイスとセンサーを統合します。これはモノのインターネット（IoT）インフラストラクチャと呼ばれます。 このインフラストラクチャ内では、 各「モノ」に識別子が必要です。 一意の強力な識別子により、ネットワークに接続したときに認証を行い、他のデバイス、サービス、ユーザーとの安全で暗号化された通信を保証できます。

25.すべてのシステムが強力な認証によってのみアクセス可能であることを確認してください

強力な認証後にのみ機密データへのアクセスを提供するため（上​​記のヒント3を参照）、ビジネスインフラストラクチャへのアクセスも制限する必要があります。 銀行で働いている場合、金庫にアクセスするには同時に複数のポイントで認証する必要があります-同じ規則がオンラインで適用されます。 ここでのみ、ロールベースのアクセスを検討し、特定の特権ユーザーのみに重要なシステムへのアクセスを提供する必要があります。

26.ハッカーを雇って仕事をする

世界には、法律を破り、データを盗み、オンラインで販売しようとしないハッカーが非常に多くいます。 彼らは世界を助けたいです。 これらはいわゆる「白人」ハッカーであり、どの組織にも「黒」ハッカーに抵抗する人がいるはずです。 彼らが言うように、ウェッジはウェッジによってノックアウトされます。

27.データフロー制御をすぐに実装する

技術が進歩するにつれて、データはより複雑になります。 データを制御下に保ち、漏洩を防ぐには、組織全体でのデータの動きと、ソースからエンドポイントまたはユーザーへのデータの動きを知る必要があります。

28.クラウドを使用する

クラウドサービスは、特に大企業の保護下でデータを提供したい中小企業にとって有用なツールです。 クラウドプロバイダーに登録するときは、クラウドプロバイダーに関するすべてを知っていることを確認することが重要です。 データセンターの場所、データの保存場所、アクセス方法

重要なシステムの持続可能性の改善

29.あるシステムへのアクセスが別のシステムへのアクセスを許可しないように、ネットワークがセグメント化されていることを確認します

この時点で「強力な」認証が行われている場合でも、企業のITネットワーク全体に1つのポイントからアクセスできないようにする必要があります。 ネットワークをセグメント化すると、ハッカーはすべてを制御できなくなり、1つだけにアクセスできます。 システムは、重要度またはネットワークがビジネスにとってどれほど重要かによってセグメント化する必要があります。 最も重要なネットワークに最大限のセキュリティを設定します。

30.業界を上回る

海外のほとんどの業界には、サイバーセキュリティの基本的な実装のために従うべき一連の標準とベストプラクティスが既にあります。 エネルギー部門には、自動車業界向けのNIST Cyber​​security Framework 、自動車向けサイバーセキュリティベストプラクティスフレームワーク 、およびペイメントカード業界向けのPCI DSSがあります。 新しい基準を上回って、罰金があなたに影響を与えないようにすることが重要です。

31.新しいテクノロジーとベンダーの探索を続けます

最後のヒントは、最新のセキュリティのベストプラクティス、オペレーター、ベンダー、およびテクノロジーに遅れないようにすることです。 インターネット上のインフラストラクチャのセキュリティを確保するために、ソフトウェアを更新し、新しいツールとテクノロジーを使用する準備をしてください。



これらのヒントを使用して、最大限のビジネスセキュリティの重要性を実感してください。 脅威は、外部からではなく、組織内から発生する可能性が高いことに注意してください。 常に攻撃に対してオープンであり、必然的に起こることに対して準備ができていると想定してください。



クラウドおよびネットワークPKIソリューションとID管理ソリューションに興味がある場合は、世界最大の認証センターの1つであるGlobalSignにお問い合わせください。商業活動と安全なワークフローのセキュリティを保証します。

---

「スポーツのためのサイバー防御の強化」というアクションを発表しました！





GlobalSignは、すべてのアスリートとサッカーファンの最も野心的なイベントのお祝いに参加します-2018年のサッカー世界選手権と1年間のSSL保護を提供！*



プロモーション条件：

* DV、OV、またはEVレベルの1年SSL証明書を購入すると、2年目はギフトとして受け取ります。

•プロモーションは、すべてのスポーツ関連のWebサイトに適用されます。

•プロモーションは新規注文に対してのみ有効であり、パートナーには適用されません。

•この特典を利用するには、WebサイトでプロモーションコードSL003HBFRを添え てリクエストを送信して ください 。



プロモーションは2018年7月15日まで続きます。



GlobalSign Russiaのマネージャーからキャンペーンに関する追加情報を電話で入手できます：+7（499）678 2210。



GlobalSignでより多くの保護を！