スモール・ビジネス・サイバー・セキュリティー : ビジネスデータを保護する7つの方法

重要なポイント:

  • 一般的脅威

  • サイバー・セキュリティー・ベスト・プラクティス

  • 従業員の教育

  • サイバー・セキュリティー戦略の進化

author-image

投稿者:

IT 専門のスタッフを持たない小規模ビジネスは、安全性の脆弱性が感知されやすく、多くの場合サイバー犯罪者の絶好のターゲットとなります。インテル® vPro® Essentials プラットフォーム搭載の、これらのようなビジネスクラスの PC は、コストのかかるサイバー攻撃から小規模ビジネスを保護し、非効率性による時間のロスを削減するのに役立ちます。

最新のレンドマイクロ社や Ponemon Institute のサイバー・リスク・インデックスによると、従業員が 100 人以下の企業が、業界平均と比較して最悪の脅威に直面しているということです。12

壊滅的なダメージの可能性 : J. Gold Associates による最近のインテルスポンサー調査です。Gold Associates は、小規模ビジネスのデータ破損による平均コストは十万ドル (米ドル) 以上になると報告しています。3 企業や消費者からの信頼を失うだけでなく、クレジットカード業界の支払いカード・データ・セキュリティー 基準 (PCIDSSS) の規則違反として月々数千ドル (米ドル) の違約金が課せられ、ビジネスアカウントが解約さてしまいます。4

このように恐ろしい状況ですが、良いニュースとして、サイバー犯罪に断固として立ち向かう企業を今日のテクノロジーが支援します。企業やユーザーのデータをより安全に保護するためには、小規模ビジネスとしての IT セキュリティー計画の作成から始めましょう。インテルは、リソースを作成し、お客様の計画作成開始を支援しています。

脅威のさまざまなタイプを理解し、いくつかのシンプルな手順とセキュリティー・テクノロジーが、どのように脅威防衛の強化に貢献できるかをご覧ください。

一般的脅威

小規模ビジネスをデータ侵害から守るための第一歩は、銀行情報、顧客連絡先と個人情報、特許製品と財務情報などへの無許可アクセスも含め、これらへのさまざまな種類の脅威を理解することです。

マルウェア

マルウェア (「悪意のソフトウェア」) は広い意味に使われ、サイバー犯罪者がデバイス、ネットワーク、ウェブサイト、そして最終的にはデータにアクセスするためのさまざまな手法のことです。マルウェアのタイプには次のものが含まれます :

  • ウイルス、システムやその他の接続デバイス全体に感染し、自己複製します。
  • スパイウェア、デバイスのバックグラウンドで実行し、ユーザーのインターネット・アクティビティーを追跡します。
  • キーロガー、キーボード操作からデータやパスワードを盗みます。
  • ワーム、ウイルスのように自己複製しますが、増殖しながらデータを破壊するのが目的です。
  • トロイ、正則プログラムのように見せかけて、データの変更、コピー、削除などのアクセスを盗み、バックドアと言われる非正規のネットワーク・アクセスを提供をします。トロイのサブカテゴリーには、感染したデバイスのリモート制御を許すバックドアトロイ、偽装したマルウェアを助け検出をさまたげるルートキット、大容量のコンピューターを感染させるボットなどが含まれ、ボットはハッカーの中央コンピューターに情報を送る「ボットネット」を作り上げます。

フィッシング

フィッシングは、ソーシャル・エンジニアリング攻撃の一種です。ユーザーは騙されてリンクをクリックしてしまい、悪意のあるプログラムをダウンロードしたり、機密的な情報を提供してしまいます。通常、マルウェアに感染している添付ファイルや、デバイスにマルウェアをダウンロードするサイトへのリンクを含む偽装メールが送られてきます。リンクの中には、パスワードなどの個人情報を要求するプログラムをもつ偽装ウェブサイトへのリンクもあります。ソーシャル・エンジニアリング攻撃は、ソーシャルメディアの偽装リンク経由のウェブサイトやマルウェアに感染した共有写真からも発生します。

ランサムウェア

ランサムウェアは、ソーシャル・エンジニアリングとマルウェアが一体となったものです。偽装リンクまたは偽装ファイルをクリックすると、トロイのマルウェアがデバイスに感染します。一度感染すると、取り戻し金を払うまでデータやシステムがロックアウトされてしまいます。Ponemon の調査によると、ランサムウェアの攻撃は増加しており、2017 年には 52% の小規模ビジネスが、2018年には 61% の小規模ビジネスが被害にあったと報告されています。1

サイバー・セキュリティー ・ベスト・プラクティス

小規模ビジネスがこれらの脅威に立ち向かうために、次の小規模ビジネス向けの IT セキュリティー・ベスト・プラクティスを実行しましょう :

  1. テクノロジーのアップグレード。小規模ビジネスについてのインテル委託による調査では、6% の一年未満の新しいデバイスでのマルウェア攻撃に対して、34% の 5 年以上使用している PC でのマルウェア攻撃が報告されています。3 新しいデバイスには、指紋スキャンや最新のインテル ®Core プロセッサー・ファミリーのハードウェア対応セキュリティー機能など、昨今の脅威に対応するセキュリティー機能が追加されています。小規模ビジネス向けの PC が必要な理由をお読みください。
  2. Windows* 11 Pro のセキュリティー機能を活用できます。新しいデバイスには最新の Windows* のオペレーティング・システムが搭載されています。Windows* 11 Pro を構成して、認可されたアプリのみを実行し、二段階認証に Windows Hello を使用して BitLocker を有効にできます。これにより、デバイスが紛失または盗難に遭った場合に機密データを暗号化することが可能です。
  3. パスワードの強化。Ponemon の調査では 40% の回答者が企業でパスワード侵害に伴う攻撃を経験していると報告しています。5 Windows* のグループ・ポリシーやモバイルのデバイス管理ソフトウェアを使って、パスワードの強度やアップデート条件の設定をしましょう。
  4. マルチファクター認証 (MFA) の実装。アカウントやデバイスへの安全なログインには、本人が知っていること (パスワードまたは PIN など)、本人が保持しているもの(トークン) 、本人であることの証明 (指紋) などによる、複数の認証要素が必要とされます。
  5. Windows* ドメインの設定。ローカルやネットワークのデータにアクセスするユーザー、グループ、コンピューターの認証が簡単なります。
  6. 公開 Wi-Fi を使用しない接続。4G LTE ネットワーク接続を搭載したインテル® Always Connected PC を使って、従業員は安全性の低い公開接続によるデータリスクのないオンラインが維持できます。
  7. Device as a Service (DaaS) の検討。この新しいデバイス管理方法は、デバイス、アップデート、継続サービスなどのコストを特定期間、通常 2 年から 4 年ほどの間、月額支払で管理し、小規模ビジネス向けの IT セキュリティー・ソリューションを提供します。DaaS のベンダーは、デバイスの選択、セキュリティー設定の最適化、テクノロジーの維持を支援します。

従業員教育

小規模ビジネスのデータ・セキュリティーの強度は、現在のセキュリティーのベスト・プラクティスに関する従業員の知識に等しいものです。次のことについて従業員を教育しましょう :

  • フィッシング、偽装プログラムや偽装リンクなどのソーシャル・エンジニアリング詐欺について認識すること。
  • 業界に影響を与えるデータ・セキュリティー規制を理解すること。
  • パスワードの精錬性を向上すること。
  • マルウェアのリンクをクリックしてしまった場合やビジネスのデータやネットワークが侵害された場合の対処法を学ぶこと。
  • データ・セキュリティーがハッカーに対する最前線の防御策であることを理解すること。

サイバー・セキュリティー戦略の進化

ハッカーはより賢く高度な手法でビジネス攻撃を進化させています。同様に、サイバー・セキュリティー戦略もさらに一層進化させることができます。テクノロジーの躍進の恩恵と言えるでしょう。最新のインテル® Corework プロセッサー・ファミリーが支援する、より安全なビジネス構築の詳細については、intel.co.jp/smallbusiness を参照してください。

免責事項

1

The Cyber Risk Index (CRI) from Trend Micro and the Ponemon Institute is a comprehensive measure of an organization’s current security posture and its likelihood of being attacked.It is based on a numerical scale of -10 to 10, with -10 representing the highest level of risk, and is refreshed every six months.Current average for small businesses <100 employees is -0.54, much higher than medium businesses (100-1,000 employees) at -0.15 and enterprises (>1,000 employees) at 0.21.These averages were documented on 2019/12/06.

2

インテルは、サードパーティーのデータについて管理や監査を行っていません。記載内容について検討し、ほかの情報も参考にしながら、本資料で参照しているデータが正しいかどうかを確認してください。

3

統計値は J.Gold Associates, LLC がインテルの委託により、2018 年にウェブベースで実施したアンケート調査の結果に基づきます。この調査は、古い PC の使用に関する課題とコストの評価を目的として、16 カ国 (オーストラリア、カナダ、中国、フランス、ドイツ、インド、イタリア、日本、メキシコ、サウジアラビア、南アフリカ、スペイン、トルコ、アラブ首長国連邦、英国、米国) における 小規模企業の代表者 3,297 人を対象に行われました。調査の詳細については、こちらをご覧ください。

4

PCI Security Standards Council のウェブページ: セキュリティーが重要な理由 (2020年1月21日にアクセス可能)。

5

Keeper Security Inc.が主催し、Ponemon Institute LLC が独自に実施した「2018 State of Cybersecurity in Small & Medium Size Businesses」調査では、米国および英国の企業の IT セキュリティー担当者約 1,045 人を対象に、中小企業が大企業が直面するのと同じ脅威にどのように対処しているかを調査しました。調査対象者 1,045 人のうち 157 人は、従業員数 100 人未満の組織からの回答でした。詳細情報: https://keepersecurity.com/apts/pdf/Keeper-2018-Ponemon-report.pdf