サイバー攻撃からビジネスを保護する方法

この記事はもともとIndustryWeekに掲載されました。 MEP National Network ^TM の一部であるオハイオMEPの南西地域パートナーであるTechSolve、Inc。の助成プログラムマネージャーであるTraciSpencerによるゲストブログ投稿 。

この記事は、「製造業者向けのサイバーセキュリティ」に関するベストプラクティスを概説した5部構成のシリーズの第2回です。これらの推奨事項は、米国国立標準技術研究所（NIST）のサイバーセキュリティフレームワークに準拠しています。

「製造業者向けサイバーセキュリティ」に関するMEPNational Networkの5部構成のシリーズのパート1では、サイバー攻撃への扉を開くインフラストラクチャの弱点を見つける方法について説明しました。これらの脅威を軽減するには、1つ以上のアンチウイルスアップグレードが必要です。継続的な警戒が必要です。ただし、システムの保護は複雑である必要はありません。開始方法は次のとおりです。

データと情報への従業員のアクセスを制限する

貴重な企業データへのアクセスを制限することで、情報セキュリティの最大の脅威である人為的エラーの可能性を減らすことができます。従業員は、自分の仕事をするために必要なシステムと特定の情報にのみアクセスできる必要があります。

従業員が会社を辞めたり、別の会社の場所に異動したりした場合は、すべてのシステムからパスワードとアカウントを削除したり、会社IDバッジとエントリキーを収集したりするなど、すぐに保護措置を講じてください。

不満を持った元従業員の影響を制限することになると、1オンスのアクセス防止は1ポンドの保護に匹敵する可能性があります。

サージプロテクタと無停電電源装置を設置する

無停電電源装置（UPS）は、停電が発生した場合にデータを保存するのに十分なバッテリー寿命と時間を提供します。 UPSのタイプとサイズが会社の基準と要件を満たしていることを確認してください。

すべてのコンピューターとネットワークデバイスをUPSに接続する必要があります。感度の低い電子機器やネットワーク化されていない機器の場合は、標準のサージプロテクタで十分です。メーカーの推奨に従って、各UPSとサージプロテクタを必ずテストして交換してください。

オペレーティングシステムとソフトウェアを定期的にパッチする

従業員が使用するすべてのデバイスのすべてのソフトウェアに定期的にパッチを適用して更新しないと、すべての新しいアプリがサイバー攻撃への扉を開く可能性があります。

新しいコンピュータを購入したり、新しいソフトウェアシステムをインストールしたりするときは、常にアップデートを確認してください。ソフトウェアベンダーは、サポートされていない製品のセキュリティ更新プログラムを提供する必要がないことに注意してください。たとえば、Microsoft ^® 2020年1月にWindows7のサポートを終了するため、まだアップグレードしていない場合は、今がアップグレードの時期です。

オペレーティングシステムのアップデートのダウンロードを遅らせないでください。これらのアップデートには、多くの場合、新しいセキュリティ機能または強化されたセキュリティ機能が含まれています。

ソフトウェアおよびハードウェアファイアウォールのインストールとアクティブ化

ファイアウォールは、悪意のあるハッカーを阻止し、従業員が不適切なWebサイトを閲覧するのを防ぐことができます。すべての従業員のコンピューター、スマートフォン、およびネットワークデバイスにファイアウォールシステムをインストールして更新します。

クラウドサービスプロバイダー（CSP）または仮想プライベートネットワーク（VPN）を使用している場合でも、オフサイトの従業員を含めます。より高いレベルの保護を提供するために、侵入検知/防止システム（IDPS）をインストールすることもできます。

すべてのワイヤレスアクセスポイントとネットワークを保護する

安全なワイヤレスネットワークを実現するには、次のルーターのベストプラクティスを使用してください。

• 新しいデバイスの管理者パスワードを変更する
• サービスセット識別子（SSID）をブロードキャストしないようにワイヤレスアクセスポイントを設定します
• 暗号化にAdvancedEncryption Standard（AES）を使用して、WiFi Protected Access 2（WPA-2）を使用するようにルーターを設定します
• WEP（Wired-Equivalent Privacy）の使用は避けてください。

顧客や訪問者にワイヤレスインターネットアクセスを提供する場合は、それがビジネスネットワークから分離されていることを確認してください。

Webおよび電子メールフィルターを設定する

電子メールとWebブラウザーのフィルターを使用して、ハッカーを阻止し、スパムが従業員の受信トレイを詰まらせるのを防ぎます。 「ブラックリスト」サービスをダウンロードして、マルウェアのリスクをもたらす危険なWebサイトをユーザーが閲覧できないようにすることもできます。

ポルノのWebサイトやソーシャルメディアなど、サイバーセキュリティの脅威に頻繁に関連するサイトにアクセスしないように従業員に注意してください。これは簡単に思えるかもしれません。しかし、誤って会社のシステムにマルウェアをダウンロードするために間違ったWebサイトにアクセスするのに1人の従業員しか必要としません。

機密性の高いビジネス情報に暗号化を使用する

フルディスク暗号化を使用して、すべてのコンピューター、タブレット、およびスマートフォンを保護します。暗号化パスワードまたはキーのコピーを、保存されているバックアップとは別の安全な場所に保存します。

電子メールの受信者は通常、復号化するために同じ暗号化機能を必要とします。暗号化されたドキュメントと同じ電子メールでパスワードまたはキーを送信しないでください。電話またはその他の方法で彼らに渡してください。

古いコンピューターとメディアを安全に廃棄する

古いコンピューターを寄付したりゴミ箱に捨てたりする前に、貴重なハードドライブ情報をすべて消去する必要があります。古いCD、フラッシュドライブ、またはその他の古いメディアにある機密性の高いビジネスデータや個人データを削除します。次に、これらのアイテムを破壊するか、あなたのためにそれらを細断する会社に持っていきます。クロスカットシュレッダーまたは焼却炉で機密性の高い紙の情報を破壊します。

従業員のトレーニング

サイバー警戒の従業員は、情報セキュリティの脅威に対する最善の保護です。

すべての従業員は知っておくべきです：

• メールで許可されているビジネスおよび個人的な使用
• オフィスまたは自宅でのビジネス情報の取り扱い方法
• サイバーセキュリティインシデントが発生した場合の対処方法

すべての新入社員をトレーニングして、貴重なデータを保護し、情報ポリシーに署名してもらいます。ニュースレターや継続的なトレーニングを使用して、サイバーセキュリティの文化を強化します。

貴重なデータと情報を保護するための重要な手順について説明したので、MEP National Networkの「Cyber​​securityforManufacturers」シリーズのパート3で、サイバー攻撃を検出および認識するためのメカニズムをインストールする方法を紹介します。 。

メーカー向けのサイバーセキュリティのベストプラクティスに関する詳細なアドバイスについては、最寄りのMEPセンターのサイバーセキュリティの専門家にお問い合わせください。