会社のサイバーセキュリティリスクを特定する方法

この記事はもともとIndustryWeekに掲載されました。 MEP National Network ^TM の一部であるオハイオMEPの南西地域パートナーであるTechSolve、Inc。の助成プログラムマネージャーであるTraciSpencerによるゲストブログ投稿 。

この記事は、「製造業者向けのサイバーセキュリティ」に関するベストプラクティスを概説した5部構成のシリーズの最初の記事です。これらの推奨事項は、米国の製造業の標準となっている米国国立標準技術研究所（NIST）のサイバーセキュリティフレームワークに準拠しています。

Ponemon Instituteによる2018年のIBM主催の調査によると、データ侵害の世界平均は386万ドルです。これは、盗まれたレコードごとにほぼ150ドルになります。中小規模のメーカーの場合、このような統計が当てはまるとは思わないかもしれません。しかし、レポートに示されている17の業界のうち、最も影響を受けたセクターは、金融、サービス、そしてそれを待つ製造業でした。

メーカーは情報セキュリティに投入するリソースが少ないことが多いため、サイバー犯罪者の標的として人気があります。また、小規模なメーカーの運用システム全体を破壊するのに必要なサイバー攻撃は1回だけです。ネットワーク化された機械、サプライヤー、ディストリビューター、さらには顧客でさえ、製造施設の1台のコンピューター/デバイスを介してハッキングされる可能性があります。

その他のリスクは次のとおりです。

• ビジネスの運営に不可欠な情報の喪失
• 顧客の信頼への悪影響
• 規制上の罰金とそれに伴う弁護士費用
• 生産性の低下または停止。

幸い、米国国立標準技術研究所（NIST）の助けを借りて、運用を保護する方法を学ぶことができます。NISTは、あらゆる規模の企業が実装できるサイバーセキュリティの5段階のフレームワークを開発しました。オンラインで利用できるNISTサイバーセキュリティフレームワークは、米国の製造業を発展させるための頼りになる専門家であるMEP NationalNetworkの現地担当者がさらに説明することができます。また、サイバーセキュリティプログラムの開発に必要な基本的な実践とツールをメーカーに提供するサイバーセキュリティのメーカーガイド（ドキュメントの場所がわかったらリンクを追加）を表示することもできます。

データセキュリティに向けた最初の一歩を踏み出す準備はできていますか？プロセスは、リスクを特定することから始まります。

あなたの情報にアクセスできるユーザーを管理する

コンピューターにアクセスできる従業員のリストを作成し、すべてのビジネスアカウント、アクセスの種類（物理的またはパスワード）を含め、使用していないときはすべてのラップトップとモバイルデバイスを物理的に保護します。従業員にプライバシー画面を使用するか、コンピュータの画面を配置して、通りかかった人がディスプレイ上の情報を見ることができないようにし、コンピュータが使用されていないときに画面ロックをアクティブにするように設定してもらいます。

次のような権限のない担当者によるコンピュータまたはシステムへの物理的なアクセスを許可しないでください。

• 清掃員または保守要員
• システムまたはデバイスで作業している監視されていないコンピューターまたはネットワークの修理担当者
• 従業員に質問されることなくオフィスや製造現場に足を踏み入れた、認識されていない個人

犯罪者がロック解除されたマシンにアクセスするのに数秒しかかかりません。彼らがあなたの機密情報を簡単に盗むことができないようにしてください。

すべての従業員のバックグラウンドとセキュリティチェックを実施する

サイバーセキュリティのリスクを特定するには、身元調査が不可欠です。コンピュータや会社のシステムや機器にアクセスできるすべての将来の従業員またはその他の人を対象に、全国規模の完全な検索を実行する必要があります。

これらのチェックには以下を含める必要があります：

• 身元調査
• 性犯罪者のチェック
• 可能であれば、クレジットチェック（一部の米国の州ではクレジットチェックの使用が制限されています）
• 以前の雇用主のために働いた日付を確認するための参照
• 教育と学位の確認

また、身元調査を行うことを検討することもできます。これにより、知らないうちに個人情報の盗難の被害に遭った場合に、すぐに警告を発することができます。

従業員ごとに個別のユーザーアカウントを要求する

データの損失や不正なデータ操作が発生した場合、ユーザーごとに個別のアカウントがないと調査が困難になる可能性があります。アクセスが必要な従業員と請負業者ごとに個別のアカウントを設定します。アカウントごとに強力で一意のパスワードを使用するように要求します。

特に日常業務を遂行する必要がない場合は、管理アクセス権を持つ従業員の数を制限します。施設の訪問者または顧客がインターネットにアクセスできるゲストアカウントを検討してください。

サイバーセキュリティポリシーと手順の作成

最初のサイバーセキュリティポリシーを作成するのは大変な作業のように思えるかもしれませんが、MEP National Networkには、開始に役立つわかりやすいヒントがたくさんあります。また、サイバー法に精通した法律専門家に相談してポリシーを確認し、地域の法律や規制に準拠していることを確認することもできます。

新しいサイバーセキュリティポリシーには、次のものを含める必要があります。

• 会社情報を保護するための従業員からの期待
• 保護する必要のある重要なリソースと、従業員がその情報をどのように保護することを期待するか
• 各従業員がポリシーを読み、理解したことを確認するための署名済みの契約書。

署名された契約書を各従業員のHRファイルに保管します。少なくとも年に1回はポリシーを確認し、会社のテクノロジーに変更を加えた場合は更新してください。次に、サイバーセキュリティポリシーを使用して、新入社員に情報セキュリティの責任についてトレーニングし、すべての事業運営に受け入れられる慣行を設定できます。

リスクを特定してリソースを評価する方法を学んだので、次はリスクの保護について考えます。 MEP NationalNetworkの5部構成の「Cyber​​securityforManufacturers」シリーズのパート2では、貴重なデータと情報をサイバー脅威から保護するための重要な手順を説明します。