多要素認証を実装する方法—そしてそれが重要である理由

デジタル時代では、長くて複雑なサプライチェーンが多くの企業の標準になっています。大企業から中小企業（SME）まで、多くの企業が現在、多くの場合、協力者やサプライヤーの長いリストを含むサプライチェーンに従事しています。この接続性は間違いなく国際商取引に利益をもたらしましたが、欠点がないわけではありません。

サイズや業界に関係なく、多くのサプライチェーンはサイバーセキュリティの脅威に満ちています。フィッシングキャンペーンや個人情報の盗難から電子メールベースのなりすまし攻撃まで、脅威はコストがかかり、多くの場合、対象となる企業に壊滅的な影響を与える可能性があります。サイバーサプライチェーンのリスク管理は、サイバーセキュリティの専門家の間で常に重要な関心事でしたが、その重要性は、COVID-19パンデミックの間にのみ増大しました。デロイトが実施した調査によると、回答者の40％が、過去12か月間にサイバーインシデントにさらされたと報告しています。パンデミックは無期限に続くため、これらの数字は上昇するだけである可能性があります。

壊滅的な影響

大量のお金と機密情報がサプライチェーンに沿って送信されることを考えると、サプライチェーンの侵害が壊滅的な影響を与える可能性があるのは当然のことです。予測不可能性はサプライチェーン攻撃の重要な特徴であり、企業は攻撃がいつ発生するのか、誰から発生するのかを知る方法がありません。

重要なのは、サプライチェーンのサイバーセキュリティの脅威は、庭のさまざまなサイバー犯罪者からだけでなく、政府機関を含むより大規模で確立されたエンティティからも発生する可能性があることです。 2019年後半の注目を集めた事件では、悪名高い中国のサイバースパイグループAPT10が中国国家安全保障省に代わって行動し、アジア、ヨーロッパ、米国の他の地域で機密性の高い商用データを標的とした悪意のあるサイバー攻撃を開始しました。 。このような状況を背景に、絶え間ない警戒と適切なサイバーセキュリティ対策が最善の防御の第一線です。

サイバーリスク管理のベストプラクティス

サプライチェーン攻撃の脅威は当然のことながら気が遠くなるようなものですが、企業がリスクを軽減し、自らを保護するために実行できるいくつかのステップがあります。企業のインターネットセキュリティ対策は、サプライチェーン全体にまたがる必要があり、継続的な有効性を確保するために定期的に評価および改善する必要があります。

基本的なレベルでは、これらの対策には次のものが含まれている必要があります。

• サービスプロバイダーが使用するリモート管理インターフェイスが、安全なネットワークと関連するログイン資格情報によって保護されていることを確認します。
• サプライヤーがコンプライアンスを実証しなければならない測定可能な品質基準を確立する。これには、サプライヤー自身に最低レベルのサイバーセキュリティ対策を義務付けることが含まれる場合があります。
• ビジネスネットワークをセグメント化および分離して、関係者のみが機密情報を入手できるようにします。
• サービスプロバイダーが使用するリモートインターフェイスとセキュリティクレデンシャルが、サプライヤーとビジネスの契約の終了時に完全に取り消されるようにする。
• より広範なビジネスネットワークに導入する前に、すべてのハードウェアとソフトウェアを慎重に検証します。ネットワークに追加したら、両方とも潜在的なセキュリティリスクを継続的に監視する必要があります。
• すべてのソフトウェアが常に最新であることを確認します。
• 可能な限り、デバイスとプラットフォーム間で多要素認証（MFA）を実装します。

多要素認証

上記のサイバーセキュリティ対策はすべて、サプライチェーン攻撃からビジネスを保護する上で重要な役割を果たすことができますが、MFAは、サプライチェーン全体でデバイスを保護するための最善の方法の1つです。ユーザーがファイルまたはシステムにアクセスする前に2つ以上の個別のログイン資格情報を提供するように要求することにより、MFAはより強力なセキュリティを提供するのに役立ちます。 2つ以上のクレデンシャルを使用するということは、通常のパスワードとは異なり、MFAクレデンシャルを複数のアカウント間で簡単に共有したり使用したりできないことを意味します。

現在、多くのプラットフォームとデバイスがセキュリティ設定でMFAオプションを提供しており、通常、次の2つ以上で構成される資格情報が必要です。

• パスワード、PIN、質問やプロンプトへの応答など、ユーザーが知っていること。
• スマートカード、物理トークン、ソフトウェア証明書など、ユーザーが持っているもの。
• 指紋や虹彩のパターンなど、ユーザーが負担するもの。

いずれの場合も、MFAの実装は安価なセキュリティアドオンであり、通常はかなり簡単で実装が簡単です。少なくとも、必要なのは、追加のセキュリティ対策が実施されていることをユーザーに通知し、それに応じて準備するように促すことだけです。

サプライチェーン攻撃は、小規模なママとポップの事業から多国籍企業に至るまで、あらゆる規模の企業にとって壊滅的なものになる可能性があります。 MFAの実装など、この種のサイバーセキュリティの脅威からビジネスを保護するための適切な対策を講じることで、機密情報を保護し、サプライチェーンの安全性を確保できます。

保護を強化するには、上記の対策をESETのセキュア認証（ESA）のバージョン3.0などのサイバーセキュリティソフトウェアと組み合わせることを検討してください。このMFAソリューションにより、あらゆる規模の企業がネットワーク上のデバイスを保護し、関連するコンプライアンス要件を満たし、データ侵害を防ぐことができます。

Kelly Johnsonは、グローバルなサイバーセキュリティプロバイダーであるESETAustraliaのカントリーマネージャーです。