個人的に気になること

個人的な忘備録。色々なものが雑多にファイリングされています。

これだけはやってはいけないセキュリティ上の悪い習慣6選

calendar

Threatpostは6月28日(米国時間)、「Top Six Security Bad Habits, and How to Break Them|Threatpost」において、セキュリティの観点から見た悪い習慣トップ6とその対策法を紹介した。Secureframeの最高経営責任者(CEO: Chief Executive Officer)がランサムウェアの侵入や攻撃、フィッシングベースのエンドポイント攻撃などを防ぐためにセキュリティチームが改めるべき6つの悪い習慣と修正するための対策を概説している。

取り上げられているセキュリティ上の悪い習慣は次のとおり。

パスワードの管理不足:同じパスワードの使い回しやパスワードの共有、付箋紙へのメモなど
複雑なプロセスとポリシー:入社時のチェックリストやプライバシーポリシーなどの文書が下書きのまま忘れられている
時代遅れのソフトウェアと非セキュアなデバイスの使用:リモートワークの増加による非セキュアなWi-Fiや個人端末の使用、ソフトウェアアップデートや定期的なデータバックアップの未実施
内部監査プログラムの欠如:適切なセキュリティポリシーによる継続的なテストと定期的な内部監査が行われてない
スタッフの未訓練:スタッフのセキュリティに対する定期的なトレーニングと理解度の欠如
現状に満足する:多くの組織がセキュリティインシデントは実際に起こらないという思い込み

これら悪い習慣を修正する対策は次のとおり。

パスワードの管理不足:パスワードポリシーの策定やパスワードマネージャの使用、多要素認証の有効化による不正アクセスのリスクの軽減
複雑なプロセスとポリシー:定期的なプロセスやポリシーの見直しを実施、全社的に賛同を得るための積極的なフィードバックの要求
時代遅れのソフトウェアと非セキュアなデバイスの使用:ソフトウェアの自動更新やモバイルデバイスポリシーの確立、機密データへのアクセスは会社のデバイスおよびVPNのみを使うよう奨励
内部監査プログラムの欠如:少なくとも年1回は自社のセキュリティ体制を見直し、新たな脅威に対応できるよう内部監査プログラムを作成
スタッフの未訓練:少なくとも年1回はセキュリティの意識向上を目的としたトレーニングの実施
現状の満足:セキュリティを優先し、その重要性を理解する文化を醸成する努力を行う

記事では、セキュリティ上の脅威やリスクのほとんどは予防が可能であり、常識的なアプローチ、継続的なコンプライアンステスト、評価、検査、測定を通じて対処することが可能だと指摘。取り上げられた対策を従業員に教育すればするほど、コストのかかるデータ漏えいやセキュリティ事故を未然に防ぐ可能性が高まると説明している。
(後藤大地)