休暇中のサイバー攻撃から組織を守るためにできる、10のこと：「電子メールの量が最大100倍に増加する可能性も」

Backblazeはホリデーシーズン中にサイバー攻撃や組織犯罪からビジネスを守るためにできる10の対策を同社のブログで紹介した。

[＠IT]

　クラウドストレージやクラウドバックアップサービスを提供するBackblazeは2023年12月5日（米国時間）、ホリデーシーズン中にサイバー攻撃や組織犯罪からビジネスを守るためにできる10の対策を同社のブログで紹介した。

　同社は、「ホリデーシーズンには電子メールの量が最大100倍に増加する可能性がある。これに加えて、企業ではオフィスにいる人員が減ったり、オフィスが閉鎖されたりするにもかかわらず作業量が増加することが多く、ランサムウェア攻撃にとって理想的な環境が整っている」と警鐘を鳴らしている。

　ホリデーシーズン中にサイバー攻撃や組織犯罪からビジネスを守るためにできる10の対策は、以下の通り。

1．技術をアップデートする

　会社がどれほど忙しくても、IT部門はシステムが最新であることを確認し、新しいパッチがリリースされたらすぐにテストして適用する必要がある。また、携帯電話とWebブラウザも同様に適用する必要がある。さらに、重要なパッチの適用が遅れないよう、休業中や従業員がオフィスにいないときにリモートでアラートを監視する担当者を割り当てる必要がある。

2．従業員全員で会社のセキュリティポリシーを確認する

　全ての企業は、ホリデーシーズンが近づくにつれて、自社のセキュリティポリシーを見直す必要がある。全ての従業員がアクセス資格情報を非公開に保つことの重要性を理解し、サイバー犯罪を発見する方法と、犯罪が発生した場合の対処法を理解していることを確認する。スタッフがオフィスにいるかリモートで勤務しているか関係なく、全ての従業員はセキュリティポリシーと休暇中の状況について最新の情報を入手しておく必要がある。

3．フィッシングシミュレーショントレーニングの実施

　組織が休暇中のセキュリティを確保するために実行できるもう一つの重要な手順は、シーズンの初めに、できれば毎月、フィッシングシミュレーショントレーニングを実施することだ。この種のトレーニングは、従業員に実際の脅威を与えることなく、悪意のあるリンクや添付ファイルを識別する能力を訓練する機会を与える。これは、従業員に電子メールでログイン情報を誰とも共有しないことや電子メールを検証することの重要性を教える良い機会となる。

4．推奨される対策、特にMFAが設定されていることを確認する

　「多要素認証（MFA）疲れ」は、従業員が認証アプリ、プッシュ通知、またはテキストメッセージを使用したログインとログアウトに飽きたときに発生する。しかし、多要素認証はセキュリティツールの中で最も優れたツールの一つといえる。休暇中、従業員は通常よりも忙しくなることがあり、MFA要件に対する不満がさらに高まる可能性がある。しかしながら、MFAはランサムウェアやDDoS攻撃からビジネスを守るために非常に重要である。

5．オフラインバックアップを用意する

　オンラインでいられる時間が長くなるほど、ビジネスデータをオフラインにすることが、提供できる最善の保護の一つであることは忘れられがちだ。オフラインバックアップを定期的に更新するプロセスが必要であり、更新スケジュールを設定すべきだ。特にビジネスクリティカルなデータの場合、オフラインバックアップは最後の防御線となる。

6．プロパティのアクセス権限を調整する

　物理的なセキュリティもサイバー犯罪防止に役立つ。ドアとデバイスは、空間の中で最も厳重に保護される領域である必要がある。休暇の前に、業務の遂行に必要とされる以上のアクセス権を誰も持たないように、ビジネスのアクセス権限を徹底的に確認すべきだ。また、必要な休憩のために車を止める前に、全ての外側のドア、窓、その他の侵入口が完全に施錠されていることを確認する必要がある。仕事に戻る前に全てをロックダウンするために、自動化システムを更新することを忘れないようにすることも大切だ。

7．休業中であることを周知し過ぎない

　不便を避けるために、いつ休業するかを顧客に通知するのが一般的だ。ただし、このやり方では、ホリデーシーズンなどの犯罪率が高まる時期にビジネスを危険にさらす可能性がある。看板やソーシャルメディアに一定期間建物内に人が入らないことを宣言する代わりに、自動音声や電子メール応答を使用して顧客に閉店を知らせる方が好ましい。そうすれば、犯罪を誘発しづらくなる。

8．バックアップ戦略を確認する

　長年にわたり、業界標準は3-2-1バックアップ戦略だった。3-2-1戦略とは、データの合計コピーを少なくとも3つ用意し、そのうち2つはローカルの別のメディア上に置き、少なくとも1つのオフサイトコピー（クラウド内）を用意することを意味する。3-2-1のバックアップ戦略は当然のこととされており、依然として必要だが、さらに高度なアプローチが登場している。自組織のサイバーレジリエンスのスタンスを確認しておくとよい。

9．サイバー保険を検討する

　サイバー保険の導入率を追跡するのは困難だが、導入企業が増加していることは明らかだ。サイバー保険は、侵害後のフォレンジック調査から訴訟費用まであらゆるものをカバーできる。

10．災害復旧戦略をテストする

　災害復旧戦略がない場合は、今こそ戦略を作成する時期だ。持っている場合は、それをテストする絶好の機会でもある。休日に入る前に、会社がセキュリティ侵害に遭った場合に迅速かつ効果的に対応できることを知っておく必要がある。

休暇中にビジネスデータを保護するために

　ここで述べた以外にも、11番目のヒントが存在する。セキュリティのためにできる最善のことは、皮肉なことに、サイバー犯罪者と同じこと、つまり従業員を人間として扱うことだ。研究によると、ランサムウェアの長期的なコストの一つに、従業員のストレスがあることが分かっている。人間が常に完璧であることを期待することはできない。学習ベースの（懲罰的ではなく）アプローチは次の2つの点で役に立つ。1つは現実世界を念頭に置いてプロセスを設定できること、もう1つは従業員がやる気をそがれることがないことだ。

　「データ盗難やサイバー犯罪の発生を全て防ぐことは不可能かもしれないが、企業が自社を守るために講じることができる手順はある。トレーニング、準備、データのバックアップを行い、できる限りのことをしたかどうか確認すべきだ」（Backblaze）