サイバーセキュリティの専門家に尋ねる5つの質問

私たちの個人的な生活の中で、私たちのほとんどはもっと注意深くしようとしていると思います。私たちの各個人パスワードを123456に設定する時代は終わりました（私は願っています）。それでも、私たちはオフィスに同じレベルの懸念を抱いているようには見えません。私たちのITプロフェッショナルは確かに私たちのサイバーセキュリティを理解しているので、心配する必要はありません…そうですか？

事実、私たち従業員は、私たちが働いている会社を保護する上で重要な役割を果たしており、ビジネスを危険にさらすのに1回クリックするだけです。ウィリスタワーズワトソンの最近の調査によると、サイバーインシデントの申し立ての90％は、ある種の人為的ミスや行動に起因していることがわかりました。ここでは、会社をより安全にするための旅のガイドとなる5つの質問と回答を示します。

1。私の会社が直面している最大のサイバーリスクは何ですか？

企業のリスクは、その固有の運用環境によって大きく異なるため、評価および検討すべきことがたくさんあります。

メールを利用する社員は多いですか？スピアフィッシングはあなたにとって最大のリスクかもしれません。製造現場のIPアドレスを持つすべてのデバイスは保護されていますか？そうでない場合、悪意のあるコード、不正なアクセスと使用、またはデータの漏えいが最大のリスクとなる可能性があります。

サイバーセキュリティリスク評価の実施は、組織の情報セキュリティ管理プログラムの重要な部分である必要があります。企業の重要で安全なデータ、情報資産、および施設に関しては、ある程度のリスクが伴うことは誰もが知っています。しかし、このサイバーセキュリティリスクをどのように定量化して準備するのでしょうか。 ITセキュリティリスク評価の目的は、会社の重要な資産が直面しているセキュリティリスクを特定し、それらを保護するためにどの程度の資金と労力を費やすべきかを知ることです。

NISTリスク管理フレームワーク（RMF）は、始めるのに最適なリソースです。 RMFは、企業が組織のビジネスプロセスを制御およびビジネスできるシステムに起因するリスクの一部を管理するための、構造化された柔軟なアプローチを提供します。

2。パスワードマネージャーを使用しても大丈夫ですか？

個人のオンラインアカウントにパスワードマネージャーを使用することは安全を維持するための素晴らしい方法ですが、職場でソフトウェアを使用する前に、会社のポリシーを確認することを忘れないでください。

パスワードマネージャーは、パスワードを保存するのに役立つだけでなく、サイトごとに一意のパスワードを生成するのにも役立ちます。ただし、すべてのパスワードを1か所に保管するのは危険です。パスワードがどのように保護されているか、およびパスワードが暗号化されているかどうかを理解することが重要です。複数のデバイスやブラウザで動作するさまざまな商用製品が利用可能であるため、調査を行って、ニーズに最適な製品を見つけてください。

3。私の会社は主要な情報セキュリティフレームワークまたは標準に準拠していますか？

あなたの知的財産と機密の顧客および従業員情報を保護することはあなたとあなたの顧客に安心を与えることができます。また、経済的影響、生産性の低下、サイバー攻撃による信頼の喪失を考えると、これは健全なビジネス慣行です。

国防総省（DoD）のサプライチェーンの企業にとって、このような保護は絶対に必要です。これらの企業は、国防総省連邦調達規則補足（DFARS）の最小セキュリティ基準を満たす必要があります。そうしないと、国防総省との契約を失うリスクがあります。

リスクを理解して軽減するのに役立つセキュリティフレームワークまたは標準の例を次に示します。NISTサイバーセキュリティフレームワーク、NIST SP 800-53-情報システムおよび組織のセキュリティおよびプライバシー管理、NIST MEPサイバーセキュリティ自己評価ハンドブック、およびペイメントカード業界のデータセキュリティ標準（PCI DSS）。どのドキュメントを参照すればよいか混乱しやすいので、それぞれについてもう少し詳しく説明します。

• フレームワークは、セキュリティとプライバシーの制御のカタログであるNIST SP 800-53と比較して、より高レベル（かつ簡潔）です。フレームワークは、技術的なバックグラウンドを持たない可能性のある経営幹部や意思決定者にとってより管理しやすいものです。また、セキュリティ機能の評価と優先順位付けの方法に焦点を当て、セキュリティを実装する技術スタッフが最もよく使用し、選択および実装するコントロールに関するより詳細な情報を理解できるNIST SP800-53などの既存のドキュメントを参照します。
• NIST MEPサイバーセキュリティ自己評価ハンドブックは、DFARSサイバーセキュリティ要件に対応するNIST SP800-171セキュリティ要件に準拠するのに役立ちます。このハンドブックは、NIST SP 800-171 rev1「非連邦システムおよび組織における管理された未分類情報の保護」のセキュリティ要件に照らして小規模メーカーの情報システムを評価するためのステップバイステップガイドを提供します。

• ペイメントカード業界データセキュリティ標準（PCI DSS）は、クレジットカード、デビットカード、およびキャッシュカードのトランザクションのセキュリティを最適化することを目的とした、広く受け入れられている一連のポリシーと手順です。 PCI DSSは、Visa、MasterCard、Discover、およびAmericanExpressによって2004年に作成されました。カード会員データを保存、処理、または送信するすべての企業には、支払いのセキュリティを維持する必要があります。カード会員データの侵害または盗難は、ペイメントカードのエコシステム全体に影響を及ぼします。あなたの会社への影響のいくつかの例は、顧客の信頼の喪失、売上の減少、詐欺の損失、訴訟費用、罰金、および支払いカードを受け入れる能力の終了です。 PCI DSSコンプライアンスを維持することは、カード支払いを処理し、カード会員データを盗むことを目的とした攻撃に対するサイバー防御を維持する企業の長期的な成功に不可欠です。ほとんどの小規模企業は、自己検証ツールを使用して、カード会員データのセキュリティレベルを評価できます。

4。二要素認証とは何ですか？それを有効にするにはどうすればよいですか？パスワードが十分でないのはなぜですか？

二要素認証（2FA）は、本人であることを確認するために使用される追加のセキュリティレイヤーです。問題は、ユーザー名とパスワードだけが簡単に推測され、人々が複数のサイトで同じパスワードを使用することです。公開されたインシデントにより、毎分5,518件のレコードが漏洩していることが明らかになりました。

2FAは、他の人があなたのアカウントに簡単にアクセスするのを防ぎます。 2FAが有効になっている場合は、ログインページにユーザー名とパスワードを入力します。次に、すぐにアクセスする代わりに、別の情報を提供する必要があります。この2番目の要因は、次のいずれかになります。

• 知っていること–暗証番号（PIN）、パスフレーズ、または秘密の質問への回答。
• お持ちのもの–クレジットカード、キーカード、スマートフォン、ハードウェアまたはソフトウェアトークン、またはサイトからの通知。
• あなたが何か–指紋、虹彩スキャン、または声紋の生体認証パターン。

サイトまたはアプリに2FAがあるかどうかわからない場合は、TwoFactorAuth.orgにアクセスして確認してください。

すべてのアカウントで2FAをオンにします。 2FAを有効にするためのTelesignのステップバイステップの説明を参照してください：https：//www.turnon2FA.com。

5。自分の仕事に役立つと思うアプリケーションを購入するための承認プロセスはありますか？

ほとんどの企業には、ソフトウェアの購入方法に関するポリシーがあります（ボックス化/オンラインまたはクラウドで外部ホストされています）。どのアプリケーションをすぐに使用できるかを知ることは重要です。また、どのアプリケーションを使用しても十分に安全であり、それらのアプリケーション内で処理および/または保存されるデータを確認するために、さらに調査が必要になる場合があります。何が必要かを理解し、サイバーセキュリティの専門家と協力して必要なプロセスを実行し、情報が適切に保護されるようにします。

サイバーセキュリティのリスクをよりよく理解したい場合は、MEP National Network ^TM を使用できます。 サイバーセキュリティ自己評価ツール。質問がある場合、またはサイバーセキュリティの専門家と話したい場合は、最寄りのMEP National NetworkCenterに連絡してください。