AnonymousやLulzSecといったグループのここ数ヶ月の悪ふざけにより、データ侵害はもはや避けられないもののように思われてきました。HBGaryやRSA Securityといった情報セキュリティベンダーが安全でないのであれば、平均的な中小企業に一体何の希望があるというのでしょうか?確かに万能薬はなく、完全なネットワークセキュリティもありませんが、IT管理者がネットワーク侵害を防ぎ、データとプライバシーをより適切に保護するためにできることは数多くあります。
SafetyWeb.com と myID.com の Web 安全性とオンライン ID 保護の専門家が協力し、10 種類のデータおよびプライバシー侵害のシナリオと、それらを回避するための提案およびベスト プラクティスのリストを作成しました。
1.不適切なネットワーク設定によるデータ漏洩。CiscoやSunといった企業は、世界中の大規模なIT部門で使用されているエンタープライズレベルのネットワーク技術の代名詞です。しかし、中小企業には、そのような機器を購入する予算が不足しているのが一般的です。中小企業がネットワークインフラを保有しているとしても、それは消費者向けに設計されたネットワークハードウェアを中心に構築されている可能性があります。中には、ルーターを一切使用せず、インターネットに直接接続している企業もあります。NetgearやBuffaloブランドなどの高品質なルーターを使用し、ルーターのパスワードをデフォルトから変更することで、企業経営者はネットワークセキュリティを強化し、ほとんどの脅威をブロックできます。
2.不適切なシュレッディング方法によるデータ漏洩。ゴミ漁りをする個人情報窃盗犯は、書類をシュレッディングせずに廃棄する企業を狙います。小規模企業であれば、家庭用シュレッダーでも緊急時には十分ですが、個人情報を毎日印刷してシュレッダーにかける場合は、業務用シュレッダーへの投資は賢明です。機密情報や個人を特定できるデータを含む文書は、廃棄前に必ず徹底的にシュレッディングしてください。
3.納税時期の税務記録の盗難。同様に、企業は税務関連の入出金情報に特に注意を払う必要があります。企業は、納税申告書を郵便局に提出し、還付金を郵便受けから速やかに回収する必要があります。個人情報窃盗犯は、納税申告書を送信用ボックスや郵便受けから盗むことが多いです。
4.公開データベースに起因する個人情報窃盗。個人、特に事業主は、しばしば自身の情報を公開データベースに大量に公開します。これは一種のジレンマです。中小企業の経営者は、個人のプライバシーを保護しつつ、露出を最大限に高めたいと考えているからです。企業は郡書記官に登録され、電話番号は電話帳に掲載され、多くの個人は住所と生年月日を記載したFacebookプロフィールを持っています。多くの個人情報窃盗犯は、公開検索可能な情報を利用して、完全な身元情報を構築することができます。中小企業は、どのようにして、どこで、事業の露出を高めるかを慎重に検討し、機密情報を公開することによる影響を考慮する必要があります。
5. DBA(商号登録)を申請せずに個人名を使用することで生じる個人情報の盗難。同様に、時間をかけて商号登録(Doing Business As)申請を行わない個人事業主は、商号ではなく個人名が公開されるため、個人情報の盗難のリスクがはるかに高くなります。
6.保護または監視の不備による銀行詐欺。事業主は、横領犯による小切手の不正使用を防ぐために、毎月口座の残高を確認することが重要であることを認識しています。しかし、多くの企業は、自社名義で開設されたクレジット口座の種類を確認することはほとんどありません。myID.comのような監視サービスは、不正に開設された新しいクレジット口座を事業主に警告することができます。
7.電子メールの送信基準の低さ。多くの企業は、電子メールを機密情報や秘密情報の安全な通信手段であるかのように利用しています。しかし、現実はほぼ正反対です。電子メールは受信者以外にも多くのユーザーがアクセスでき、送信中に傍受される可能性も十分にあります。電子メールは封書ではなく、はがきとして扱う方が適切です。
8.安全なパスワードを選択しない。安全なパスワードを使用してください。ぜひそうしてください。実際、多くのセキュリティ専門家は、パスワードではなくパスフレーズの使用を推奨しています。パスフレーズは複数の単語(少なくとも3語)で構成され、パスワードよりもはるかに安全です。「friday blue jeans」のようなパスフレーズは、複雑なパスワードよりもはるかに速く入力でき、覚えるためにモニターに貼り付けた紙切れに書き留める必要もありません。
9.新しいコンピューターやハードドライブのセキュリティ対策を怠る。専任のIT部門や情報セキュリティ管理者を持たない企業は、PCやハードウェアのセキュリティ対策とロックダウンのために外部コンサルタントを活用することを真剣に検討すべきです。Windows 7などのOSに搭載されているセキュリティ対策が有効で適切に設定されていれば、ほとんどのデータ侵害は阻止できます。
10.ソーシャルエンジニアリング。ソーシャルエンジニアとは、電話をかけてきて別の組織を名乗る人物のことです。FacebookやLinkedInなどのソーシャルネットワークも、攻撃者がソーシャルネットワークの仕組みを悪用して機密情報にアクセスしようとするリスクがあります。攻撃者は、企業のオーナーが取引のある企業の社員を名乗ることもあります。知らない人から電話がかかってきたり、メールやソーシャルネットワークで連絡があったりした場合は、パスワードや機密情報を明かす前に、相手が本当にその人であることを確認してください。さらに良い方法としては、誰がどのような状況でそのような情報を明かすことができるかを規定するポリシーを整備することです。
企業内のこれらの10のシナリオを検討し、提供されているガイダンスに従えば、データとプライバシーの侵害インシデントの大部分を防ぐことができます。
