情報システムやデータの保護に積極的に取り組んでいるにもかかわらず、セキュリティ対策の有効性に疑問を感じていませんか?
情報やIT資産の機密性、可用性、完全性をどの程度保護しているか、また、様々なセキュリティやプライバシーの規制に準拠しているかをこれら7つの分野により明らかにできます。
貴社がこれらの7つの分野においてしっかりとした対応策を講じることにより、サイバー攻撃に備えることが可能となります。
1. ユーザー:ユーザーへのトレーニングとリスク評価
日々の機能を実行するために、ユーザーには貴社のシステムやデータへのアクセスが提供されます。これらのユーザーは、弱いパスワード、無制限なダウンロード、フィッシング攻撃などの過失行為が原因で、組織に高いリスクをもたらす可能性があります。そのため、情報システム上での行動については、適切にユーザーを教育、訓練し、責任を負わせることが重要です。これには、オンボーディングおよび終了プロセスの定期的な見直し、システムアクセス権、ユーザー意識向上トレーニングなどが含まれます。
2. ネットワーク:日々進化するサイバー犯罪のモニタリングと防御
貴社のネットワークは、ソフトウェア、ハードウェア、サービス、その他のリソースを含む技術インフラストラクチャ上で通信し、一緒に動作するシステムの相互に接続されたグループです。ネットワークは適切な設定と公共ネットワークとの分離によって強化する必要があります。また、潜在的なサイバーインシデントの検出と防御に役立つように、定期的にテストを行い、継続的に監視する必要があります。
3. アクセス:毎年行うユーザーアクセスのレビュー
アクセスとは、ユーザーの権限と、役割と責任に基づいてどのように制限されているかを指します。アクセス許可は年に一度見直し、アクセスレベルを職務に応じて付与、取り消し、または変更する必要があります。
4. ベンダー:ベンダー・データの保護
サードパーティのサービスプロバイダーは、ITサービスで貴社の組織の業務をサポートします。貴社の組織は、サービスが安全に実行され、ベンダーと共有するデータ
が適切に保護されていることを確認するために、ベンダーの監督を行う必要があります。これには、ベンダーとその役割と責任を吟味するプロセス、サイバーセキュリティの開示通知と秘密保持条項についてベンダーの契約を確認することが含まれます。
5. インシデント対応:サイバーの脅威に対する備え、対応、リカバリー
貴社の組織は、サイバーセキュリティの攻撃や問題に対応するために、テスト済みのプロセスと計画を用意しておく必要があります。正式な計画がなければ、顧客、従業員、ITシステム、さらにはブランドにまで悪影響が及ぶ可能性があります。解決に当たる対応チームには、すべての主要部門の代表者と社内外の法律顧問を含める必要があります。
6.. 新たな脅威
サイバー攻撃は常に進化しており、その被害はより深刻になっています。フィッシング、マルウェア、ランサムウェア、DoS攻撃などの脅威は、システム、ネットワーク、データを混乱させるだけではなく、実際に損害を与え、企業は評判を落とす可能性もあります。サイバー攻撃や新たな脅威に備え、様々な関連するコンプライアンスを遵守していることを確認するために、企業は積極的にどのようなセーフガードがあるかを継続的に評価する必要があります。
7. サイバーツール
多くの企業は、新しいツールやテクノロジーを採用することでビジネスのやり方を変え、その過程でデジタルプレゼンスを拡大することが可能です。ビジネス慣行の変化に伴うサイバーセキュリティのリスクを相殺するためには、適切なツールとソリューションの導入が必要です。サイバーソリューションの選択と導入は始まりに過ぎず、これらのツールを継続的に評価・モニタリングし、サイバー脅威を効果的に防御、検知、対応できるようにする必要があります。