機密データを守るサイバーセキュリティの6つのベストプラクティス

「Take Control of Your Data(自分のデータを管理しよう)」をテーマにした2024年のデータプライバシー週間にちなんで、サイバーセキュリティのベストプラクティスをまとめた。

これがかつてないほどに重要である理由は、 毎日50億人以上の利用者がいるインターネットは、コミュニケーション、コラボレーション、情報共有のプラットフォームとなっているからだ。消費者は企業と取引する際に、名前、住所、社会保障番号、クレジットカード情報などの機密データをインターネットに預ける。企業自体もクラウドを利用して、自社の業務や従業員に関する重要なデータなどを保存している。

残念なことに、サイバー犯罪の増加に伴い、データ侵害はますます増加している。Statistaによると、2022年には米国だけで1,800件以上のデータ侵害があり、数十億件のデータが流出したという。

これらのデータ侵害は、フィッシング詐欺やランサムウェア攻撃から、不正アクセスや人的ミスまで多岐にわたる。

企業にとって、このような侵害の結果は、競合他社に利用されたり、風評被害、顧客の不信感、潜在的な法的リスクにつながる可能性がある。

そのため、企業はそれが自社データであれ顧客データであれ、機密データを守るために必要不可欠なサイバーセキュリティ対策を取らなければならない。本記事では、そのようなサイバーセキュリティのベストプラクティスを6つ紹介する。

1. SSL/TLSなどの暗号化プロトコルを使用する

SSL(Secure Sockets Layer)/TLS(Transport Layer Security)とは、インターネット上で安全な通信を行うために暗号化するプロトコルのことだ。暗号化によって、読み取り可能なデータがコード化された形式に変換され、目的の受信者のみが復号鍵で復号して読み取ることができる。

暗号化プロトコルの使用は、サイバーセキュリティの主要なベストプラクティスであり、例えばWordPressでWebサイトを作成する際などに、サイバーセキュリティの脅威に対する防御の最前線として機能する。Webブラウザのセッションを保護することによって、ハッカーがWebサイトから機密情報を盗むのを難しくする。

技術面では、SSLやTLSの実装には、信頼できる認証局(CA)から証明書を取得したら、その証明書を使用するようにサーバを設定し、トラフィックを安全なプロトコルにリダイレクトする必要がある。BlueHost、GodaddyなどのWebホスティングプロバイダーでは、設定するためのプロセスがサポートされる。また、ホスティングパッケージの一部として、自動SSL/TLSセットアップや更新も提供されている。

SSL/TLS暗号化において、認証局(CA)は極めて重要だ。認証局は、証明書申請者の身元を確認し、証明書を取得するドメインの所有権を証明する。信頼できる認証局は、主要なブラウザやオペレーティングシステムによって認識され、発行された証明書を信頼し、接続が安全であることをユーザに視覚的に示す。

下の画像からContrast SecurityのWebサイトを見て欲しい。

WebサイトのURLの近くにある南京錠のアイコンが見えるだろうか？このアイコンが、Webサイトの接続がエンドツーエンドで暗号化され、安全であることを示す。

SSL/TLS暗号化は、最初は技術的で複雑に感じられるかもしれない。しかし、この予防措置を採用することで、機密データをセキュリティ侵害から守ることができる。そして、顧客の信頼を築き、確実にWebサイトを規制要件に準拠させることができる。

2.定期的なサイバーセキュリティ監査を実施する

定期的な健康診断で全身の健康状態を確認して維持するのと同様に、サイバーセキュリティ監査は、デジタル環境の稼働状態を定期的にチェックする役割を果たし、機密データの保護に役立つ。

サイバーセキュリティ監査は、企業や団体などの情報システムを包括的に評価するものだ。この評価によって、企業や団体はサイバーセキュリティ戦略にどの程度対応しているかを測定できる。また、セキュリティギャップが特定され、改善すべきことが明確になる。すべては、目に見えないデータ漏れを塞ぐためというわけだ。

定期的なサイバーセキュリティ監査が不可欠だ。これには、いくつかの理由がある。第一に、企業とそのシステムの防御状況を常に最新の状態に保つことができる。新しいハッキング技術やウイルスが絶えず開発されている。定期的な監査によって、こうした新時代の脅威に対処するための最新のセキュリティ対策を確実に実施することができる。また、時代遅れであったり効果のないセキュリティ対策が特定されて、より堅牢で効率的なシステムに置き換えることもできる。

第二に、定期的なサイバーセキュリティ監査によって、重大な問題に発展する前に問題を発見し、修正することができる。定期的な監査を実施することによって、悪用される前にセキュリティの脆弱性を発見することができる。ランタイムプロテクションに組み込まれている検知ルールによって、以下の図に見られるように、ゼロデイが悪用されるのをブロックすることもできる：

また、監査によって、企業や団体でデータ保護に関する法律および規制体系が遵守されているかも確認できる。故意であろうとなかろうと、コンプライアンス違反は法的制裁や罰則を科せられ、企業や団体の評判と収益にダメージを与える可能性がある。

3. セキュリティ意識とベストプラクティスを社員に教育する

社員は、電子メールを送信したり、インターネットにアクセスしたり、デバイスにログオンしたりするたびに、サイバーセキュリティの被害を受ける可能性がある。無知であったり不注意な行動によって、会社はフィッシングやマルウェア、ランサムウェアの攻撃にさらされる可能性がある。

Verizonのレポートによると、データ漏洩の74%は人的ミスによるものだという。これが示すのは、社員が知っておくべき潜在的なサイバーリスクと、それを軽減するためのサイバーセキュリティのベストプラクティスについて社員を教育することの重要性だ。

ただし、サイバー脅威は絶えず進化しているため、教育プログラムも同様に進化し続ける必要がある。なので、社員がサイバーセキュリティの初心者向け資格を取得したら後にやめてはいけない。資格取得後も、定期的にワークショップなどを実施して、年間を通じて社員の意識を更新するのだ。

効果的なサイバーセキュリティ教育とは、マルウェアからソーシャルエンジニアリングまで、日常業務に関連するさまざまな脅威を取り上げるべきものである。また、フィッシング詐欺のシミュレーションのような実例を使用すれば、社員はセキュリティインシデントの意義を実用的に理解することができるだろう。

クイズやゲームなどのインタラクティブな講習セッションは、参加者のモチベーションを向上させることができる。社員に次のことを教育しよう：

• フィッシングメール
• 強力なパスワードの使用と多要素認証(MFA)の有効化
• 公衆Wi-Fiネットワークの危険性
• メールの送信者とリンクの再確認

サイバーセキュリティに対する意識をIT部門だけでなく全員の優先事項とすることで、データ保護が全従業員の共有責任となる環境を作ることができる。

ContrastのTrust Centerを今すぐチェック！

2023年、ContrastはTrust Center(セキュリティセンター)を立ち上げた。これは、Contrastユーザだけでなく、導入を検討中のお客様、パートナーなどにも向けたワンストップショップで、プライバシー、セキュリティ、コンプライアンスに関してContrastが提供するすべてを理解できる。その内容をよく理解してほしい。特に当社のプライバシーポリシーを！

4. 機密データを定期的にバックアップする

データは世界で最も価値ある資源の一つだ。データの損失や漏洩は、企業の転落につながる可能性がある。そのため、定期的なデータのバックアップは、決して見落としてはならないサイバーセキュリティの実践であることに変わりない。

最も機密性の高いデータを常にバックアップしておくことで、サイバー攻撃やハードウェア障害、人的ミスなどの不測の事態からビジネスを確実に回復させることができる。

とはいえ、データのバックアップとは、単にファイルのコピーを作成して別のドライブに保存するだけではない。バックアップ戦略の効率性と有効性を確保するための体系的なアプローチも必要だ。

以下はそれを簡略化したプロセスである：

• バックアップすべき重要なデータを特定： すべてのデータをバックアップする必要はない。業務を行う上でどのデータが不可欠であるかを把握することで、バックアップストレージを節約し、コストを削減できる。
• バックアップ方法を選択： テープやディスクストレージなどの従来の方法を選ぶこともできる。または、拡張性とアクセス性を備えたクラウドベースのソリューションを使用することもできる。
• 定期的なデータバックアップをスケジュール： 通常、データバックアップの頻度は、データが変更される頻度によって異なる。バックアップのスケジュールを立てて、それを守ることが重要だ。
• バックアップをテスト：データのバックアップをテストすることが非常に重要だ。バックアップされたデータが必要な場合に確実に復元できることを確認しておけば、いざという時に不測の事態を避けることができる。

データをバックアップすることは、データのプライバシーを保護する上で非常に重要なことだが、バックアップ自体のセキュリティを確保することも同様に重要だ。これには、バックアップデータの送信および保存中の暗号化が含まれる。バックアップのセキュリティを確保することにより、仮にバックアップが危険にさらされても、データに簡単にアクセスできなくなるはずだ。また、バックアップのコピーをプライマリデータソースとは別の物理的な場所に保管することで、さらに保護が強化される。

重要なデータのバックアップはオプションではなく、必要不可欠なものだ。定期的なデータバックアップとその他のセキュリティ対策により、致命的なデータ損失事故の可能性を大幅に減らすことができる。

5. 必要な機密データのみ収集して削除する

サイバーセキュリティのベストプラクティスをもうひとつ紹介しよう。機密データをバックアップする代わりに、使用後に完全に削除してはどうだろう？機密データを数回しか使わないのであれば、前述の4番の定期的なバックアップよりもこちらの方が良いだろう。将来不要になるものを取っておいても意味がないからねね。ドライブの容量を圧迫するだけだ。容量に空きができれば他のデータ、つまり実際に使用するデータに使うことができる。

その上、データの紛失、特に機密データの紛失は企業の転落を意味することはすでに述べた。必要に応じて機密データを使用して、その後に削除しているのだから、失うものはないだろう。つまり、データ侵害で会社が転落する心配をする必要はなくなる。

サイバーセキュリティの効果を最大限にするためには、必要な機密データだけを収集することだ。情報を収集しすぎて、使用後すぐに情報を削除するからと言って、その行動を正当化してはいけない。そもそも、不必要な機密情報をデータベースから削除する前であっても、データ侵害が発生する可能性が常にあるからだ。

また、人間はミスを犯しやすい。機密データを削除する担当者が、不要な機密情報をストレージから削除するのを忘れたらどうなるだろうか？データ侵害が発生した場合に、情報を使用していなかったとしても、会社は法的責任を問われる可能性がある。

6. すべてのソフトウェア、OS、サイバーセキュリティツールを最新の状態に保つ

ウイルス対策ソフトやセキュリティソフトをインストールすれば、トロイの木馬ウイルスや悪質な行為からデバイスを守ることができるが、常に更新が必要だ。その理由はこうだ。

ハッカーやサイバー犯罪者は、セキュリティの防御を崩すために、新しいウイルスやマルウェア攻撃を容赦なく作り出している。古いセキュリティツールには、古くなったウイルス対策シグネチャが含まれていることが多く、新しい脅威に対して効果がない。それに対して、ソフトウェアやOSのアップデートには、以前のバージョンで発見された脆弱性に対するセキュリティパッチがよく含まれている。

これらのアップデートを適用しないということは、ハッカーに知られている脆弱性が対処されないままであることを意味し、その結果、悪意のある攻撃者が企業のネットワークに侵入できる隙間を生み出すことになる。

したがって、企業や団体ではソフトウェアの更新ポリシーを作成して、全てのシステムで全てのアプリケーションの最新版が常に実行されているようにしなければならない。このプラクティスでより効果が期待されるのは、更新の自動化による。自動更新を使用することで、手動で更新を見落とす可能性を減らすことができる。

すべてのソフトウェア、OS、セキュリティツールを更新することは、サイバーセキュリティのベストプラクティスであり、企業・団体は高いセキュリティ基準を維持することができる。

ただし、最良の結果を得るために、ワークロードでランタイムセキュリティを利用して欲しい。ランタイムセキュリティは、インストルメンテーションの力により、ソフトウェアスタック全体に信頼境界を埋め込むことで、一般的なソフトウェアスタックに含まれる何千もの関数のうち、使用時に危険であり、かつ全く保護されていないものを守ることができる。これらの信頼境界は、関数が安全に使用されていない場合に開発者に警告を発する。また、ライブラリが脆弱で悪用可能かどうかを判断し、関数の使用を観察することでセキュリティの青写真を明らかにし、攻撃を検出して悪用の試みを防ぐ。

特にランタイムセキュリティでは、通常の操作中にバックグラウンドでセキュリティ検査と保護を行うことができる。アプリケーションやアプリケーションプログラミングインターフェース(API)を悪用しようとしているユーザが可視化(別名、オブザーバビリティ)され、プロアクティブな対応が可能になる。最終的に、各ワークロードは、ファイアウォールを必要とせずに、攻撃や脆弱性から保護される。

最後に

近年、サイバー脅威はますます広まっている。ハッカーやサイバー犯罪者は、機密データを侵害する新たな方法を常に考えている。企業の経営者や管理者であれば、データ漏洩によって数分でブランドイメージや評判が損なわれる可能性があることを認識すべきだ。そのため、データを保護するためにサイバーセキュリティのベストプラクティスを常に実施する必要がある。

SSL/TLSプロトコルを利用して機密データを暗号化する、定期的なセキュリティ監査を実施する、定期的にデータをバックアップする、必要な機密データのみを収集して削除する、すべてのソフトウェア、オペレーティングシステム、セキュリティツールが最新にする、などを実施することだ。ランタイムセキュリティのようなツールも、ワークロードで活用してほしい。アプリケーションやAPIを悪用しようとしているユーザを確認できるので、プロアクティブに対応することができる。

このような技術的な対策だけでなく、サイバー脅威に対する防御の第一線は社員であることも忘れないで欲しい。定期的にそして常に更新した内容で、サイバーセキュリティに関する意識を向上するトレーニングを実施することで、社員のミスや無知によるリスクを大幅に減らすことができる。

ここまでに触れた戦略を実施・徹底することによって、社員にサイバーセキュリティを意識する文化が生まれ、サイバー脅威から会社を守ることができるだろう。

関連記事/サイト： 

• 過検知+検知漏れ=実際のコスト | ブログ
• 統計についての話：AppSecが誤った計算に基づいて行われている理由 | ブログ
• 無駄なAppSecにお金をつぎ込んではいけない | ブログ
• 使えないAppSecツールを実際に機能する「ランタイムセキュリティ」に入れ替えよう | ブログ
• Shift Everywhere: How Runtime Security Can Change Your AppSec Game | ウェビナー