オンラインプライバシーの維持

ビジネスを運営する上で最も重要なテーマではないかもしれませんが、完全にインターネットに接続された世界に近づくにつれて、オンラインプライバシーはますます重要になっています。

プライバシーとは何ですか？

簡単に言えば、プライバシーは会社または公の場からの撤退です。少なくとも1890年以来、個人的な事柄を秘密にしておく人の権利についての議論がありました。プライバシーは情報セキュリティと密接に関連しています。情報セキュリティとは、情報の機密性、完全性、可用性を保護することです。プライバシーは、データがどのように収集、保存、処理、使用されるかに関係しています。オンラインプライバシーの保護には、写真、ビデオ、図面、ドキュメントなど、あらゆる形式の個人情報の保護が含まれる場合があります。

ほとんどの場合、情報を安全に保つことなくオンラインプライバシーを維持することはできません。これが、ビジネスの情報を安全に保つためにセキュリティとプライバシーの両方を考慮することが重要である理由です。 NISTプライバシーフレームワーク入門では、セキュリティとプライバシーの関係について詳しく説明していますが、簡単にするために、このブログでは関係の重複部分のみに焦点を当てています。

一般的なオンラインリスクとは何ですか？

つながりが深まるにつれ、個人情報がインターネットに流出する可能性が高くなります。多くの場合、データ侵害、盗難、情報漏えいは、ユーザー側のセキュリティの欠如が原因です。 2020年のVerizonData Breach Reportによると、2019年の侵害の22％は、単純な人為的ミスによるものでした。たとえば、間違った人にメールが送信されたり、従業員が誤ってログイン資格情報を漏らしたりしました。これらのリスクは、個人情報や機密情報を扱うときに評価する必要があります。

ビジネスの世界では、一般に公開する情報の量と、ビジネスの内容を宣伝することのバランスをとる必要があります。ソーシャルメディアに送信または公開しようとしているものは、ビジネスに関してすべきではないことを明らかにしていますか？

たとえば、インターンがあなたのビジネスの入り口で自分の写真を公開するとします。それは無害に思えますが、インターンのバッジまたは会社のセキュリティシステムが表示されている場合、攻撃者はその情報を使用して不正アクセスを取得する可能性があります。自分自身と自分のビジネスについて公開する情報を認識し、慎重に選別することが重要です。

Cookieの追跡とデジタル指紋

考慮すべきもう1つのことは、インターネット上であなたとあなたの従業員について収集されたデータです。追跡Cookieとデジタル指紋はあなたのオンライン活動を追跡します。 Cookieは、サイトデータを追跡し、構成ファイルを記録し、ユーザーを識別するためにWebサイトに配置される識別可能な情報を含む小さなファイルです。デジタル指紋は、マウスカーソルの動きから画面のサイズまですべてを追跡するプロセスです。

Cookieとフィンガープリントは、オンラインの動きと情報を追跡できるため、犯罪者はより簡単に攻撃を計画できます。たとえば、顧客が会社のWebサイトで追跡されている場合、攻撃者はその情報を使用して、スピアフィッシングと呼ばれるビジネスからのように見える標的型電子メールを送信する可能性があります。これらの電子メール内の偽のWebサイトへのリンクは、人々をだましてログイン資格情報を入力させる可能性があり、これを使用してネットワークに侵入する可能性があります。

ソーシャルメディアのリスク

ソーシャルメディアとの関わりもリスクをもたらします。従業員は、あなたが秘密にしておきたいあなたの会社に関する情報を共有する場合があります。たとえば、従業員は、写真の背景にビジネス上の機密情報が含まれていることに気付かずに、職場の周囲の写真を共有する場合があります。オンラインで漏洩した情報は、人々がだまされて機密情報を提供するソーシャルエンジニアリング攻撃や、侵入などの物理的攻撃に使用される可能性があります。セキュリティ保護は優れている可能性がありますが、従業員がパスワードを表示した写真を投稿した場合背景として、セキュリティシステムはほとんど効果がありません。

ソーシャルメディアのプレゼンスまたはWebサイトを運営する企業は、システムがCookieまたはフィンガープリントを介して人々を追跡しているかどうかにも注意する必要があります。多くの州には、そのような情報を収集または使用する方法に関する法律と、その情報をいつ破棄する必要があるかに関する法律があります。

プライバシーを守る

どの情報を共有すべきかを検討してください。画像やメッセージを送信する前に、次のような機密情報が含まれているかどうかを検討してください。

• セキュリティシステムの写真など、犯罪者が使用する可能性のあるものすべて
• 会社に関する機器またはその他の機密情報の領収書
• スタッフが休暇中など、個人的なこと
• 顧客の検索履歴など、恥ずかしい可能性のある情報

オンラインプライバシーを維持するためのヒントは次のとおりです。

オンラインで共有する内容について考えるように従業員をトレーニングする

従業員や会社に対して使用される可能性のある情報を開示しないように従業員を訓練します。たとえば、従業員がソーシャルメディアで、会社で高い地位に就いたことを言及する場合があります。後で、休暇中に写真を投稿すると、攻撃者はこれを従業員の自宅や職場のアカウントに侵入する機会と見なす可能性があります。

従業員は、仕事がクリアされ承認されない限り、仕事に関する情報を共有しないようにトレーニングする必要があります。オンラインの情報は、攻撃者が簡単に収集して共有できます。一見無害に見える情報を収集して集約した場合でも、リスクが生じる可能性があります。 ID、ログイン資格情報、職場の写真、電話番号、サプライヤーリスト、従業員のスケジュールなどの情報は、犯罪者によって使用される可能性があります。

ブラウザとプログラムを更新する

すべてのプログラム、オペレーティングシステム、およびWebブラウザーを最新の状態に保ち、パッチを適用して、情報が保護されていることを確認します。プログラムの最新バージョンを実行することで、古いバージョン用に設計された攻撃に対して脆弱にならないようにします。最新バージョンを使用すると、以前のバージョンにあった可能性のある古いバグや脆弱性からも保護されます。安定性を優先する場合、セキュリティパッチは、完全な更新を実行せずにプログラムを最新の状態に保ちます。

ネットワークレベルのウェブサイトブロッカーを使用する

広告にアドウェアやマルウェアを使用するWebサイトは避けてください。ネットワークレベルのWebサイトブロッカーは、ユーザーがこれらのWebサイトに接続するのを防ぎます。さらに、ブラウザや検索エンジンでよく提供されるオートフィル機能とオートコンプリート機能をオフにします。個人情報や機密情報を収集できるため、共有マシンではこれらをオフにすることが特に重要です。

ブラウザの履歴をオフにする（または範囲を縮小する）

ブラウザの履歴は、頻繁にアクセスするWebサイトの読み込みを高速化し、パーソナライズされた広告を提供するためによく使用されます。ただし、犯罪者は、この情報を一般に公開しない見返りに、機密性の高いビジネス情報や金銭を提供するように従業員を脅迫するために使用することができます。会社のセキュリティポリシーでブラウザの履歴を保持する必要がある場合は、特定の時点までのみ保持し、不要なときに古い情報を破棄するようにしてください。

追跡をオフにする

オプションが与えられたら、追跡をオフにします。これにより、追跡されたくないことをWebサイトとブラウザーに通知します。一部のWebサイトは、追跡を有効にしないと機能しない場合があります。そのような場合は、シークレットモードまたはプライベートモードでブラウジングしてみてください。追跡が必要なWebサイトを使用する必要がある場合は、機密情報にアクセスできるコンピューターを使用しないでください。

広告ブロック拡張機能を使用する

オンライン広告は煩わしいだけでなく、ネットワークにマルウェアを配信する可能性があります。広告をブロックすると、このリスクが大幅に軽減されます。ネットワークレベルの広告ブロッカーは管理が簡単ですが、通常、これらの拡張機能をブラウザに追加するのに個人に頼るよりも費用がかかります。

クロスサイトCookieをブロックする

Cookieは、サイト設定などのデータを保存するためにWebサイトに埋め込まれたビットを追跡します。このデータは、インターネット全体でユーザーを識別できます。 Cookieを完全に無効にすると、一部のWebサイトが使用できなくなるため、複数のWebサイト（クロスサイト）のCookie間で設定を保存するCookieのみをブロックすることは適切な中間手段です。不要なCookieはブロックする必要があるため、別のオプションとして、Cookieが許可されているサイトのリストを使用することもできます。

FlashPlayerをブロックする

2021年1月の時点で、Flash Playerはサポートされていません。つまり、製造元はセキュリティパッチを含むパッチを開発する予定がありません。会社が日常業務にFlashPlayerを特に必要としない限り、ローカルマシンまたはネットワークへのインストールをブロックする必要があります。

不要な場所でインターネットアクセスをブロックする

マシンがビジネスオペレーションのためにインターネットアクセスを必要としない場合は、接続を許可しないでください。物理的な攻撃を防ぐために、必要に応じてそのマシンを物理的に隔離します。ネットワークアクセスは必要だがインターネットアクセスは必要ないデバイスを別のVLAN / LANに配置します。更新を実行するために散発的にインターネットアクセスのみを必要とするマシンの場合は、必要に応じてインターネットに接続するだけです。

MEP全国ネットワークはあなたを助ける準備ができています

リスクを軽減し、オンラインプライバシーを維持する方法を知ることは、特にリソースが限られている中小企業にとっては、圧倒される可能性があります。 MEP National Network ^TM の専門家 これらおよびその他のサイバーセキュリティの問題を解決するために利用できます。ネットワークには、50州すべてとプエルトリコにある51のMEPセンターが含まれています。これらのセンターの支援は、電話またはクリックするだけです。