中小企業向けのデータセキュリティのリスクと安全対策

データはあらゆるビジネスの中心であるため、データは組織の中核資産であり、ハッカーや犯罪者の主な標的となっています。ビジネス価値を高める上でのデータの重要性を過小評価することはできません。同様に、企業規模に関係なく、データの保護にも適切な優先順位を付ける必要があります。ただし、ほとんどの中小企業は、大規模な組織と比較すると、脅威レベルが比較的低いと考えています。

最近の報告によると、この考え方は現実に耐えられません。最近の統計は、中小企業がデータ侵害に対して特有の脆弱性を持っていることを示しています。 Verizon の 2019 年データ侵害調査報告書 (DBIR) によると¹、約 43% 件のデータ侵害が中小企業 (SMB) を標的としています。一方、別のレポートでは 60% が指摘されています。² データ侵害の被害を受けた中小企業の 6 社が、今後 6 か月以内に廃業または廃業することになります。

クラウド コンピューティングへの依存の高まりと電子商取引ビジネスの急増により、大企業と同様に中小企業でも、クレジット カード、社会保障番号、電子メール アドレス、IP アドレスなどの機密性の高い顧客データや個人データへのアクセスが増加しています。

不適切なデータ セキュリティ対策によって顕在化する可能性のあるリスクには、次のようなものがあります。

1. 風評リスク: データ侵害の直後には悪い評判や報道が起こり、その結果、顧客、クライアント、潜在的な投資家の間での信頼が失われます。多くの場合、顧客は自社の機密データを保護する企業の能力に対する信頼を失い、より強力な保護手段を備えた他の企業に同じまたは類似のサービスを提供することを求めるでしょう。
2. 財務リスク: データ保護が欠如していると、組織に経済的損失が生じる可能性があります。データ侵害の高額なコストは、調査コスト、セキュリティ管理の導入、法的または規制上の罰金など、データ侵害後に企業が取るべき措置に関連する傾向があります。
3. 規制または法的リスク: データ保護規制の違反に基づく罰金も余波として発生する可能性があります。顧客は、データが侵害された場合、組織に対して法的措置を講じることができます。組織が顧客の個人データまたは機密データを適切に保護するためのデューデリジェンスが行われていないことを証明できない場合、規制または法的罰金はより高額になる可能性があります。
4. 運用リスク: データ侵害のもう 1 つの大きな影響は、イベントの余波で組織が直面する可能性のある潜在的なダウンタイムです。イベントの性質によっては、企業は、侵害や計画外の業務中断による損害を調査および/または抑制する間、中核となる収益を生み出すシステムや Web サイトを含む業務を停止する必要がある場合があります。さらに顧客の不満が増大し、収益の損失につながる可能性があります。
5. 顧客またはクライアントのリスク：ハッカーは侵害された顧客データを使用して詐欺行為を行う可能性があり、中小企業の責任はさらに増大します。

リソースの制約に直面することが多い中小企業にとって、リスクを許容可能なレベルまで効果的に軽減するための対策を特定し、実行することが重要です。以下は、SMB がデータ セキュリティ リスクから保護するために実装できる 10 の重要な対策です。

1. スタッフのトレーニングと意識向上を優先する

従業員は本質的に人間のファイアウォールであり、組織の防御の最前線です。企業は少なくとも年に一度、従業員に必須のセキュリティ意識向上トレーニングを提供し、フィッシングやランサムウェアなどのセキュリティ リスクについて教育する必要があります。

2. システムとデータのインベントリを維持する

企業は、自社の環境を定期的に調査し、重要なシステムとデータのインベントリを維持して、最も機密性の高いデータがどこに存在するのか、および実装すべき保護手段を理解する必要があります。

3. 機密データを保護する

サイバー犯罪者の主な標的は、個人を特定できる情報 (PII)、企業秘密、財務データ、その他の機密情報を含む会社の機密データです。強力なアクセス制御、暗号化、安全なデータ廃棄手順の実装は、機密データの保護に役立ちます。

4. 多要素認証 (MFA) を使用する

MFA は追加のセキュリティ層を提供し、ユーザー名とパスワード以外に、個人の身元を確認するための 1 つ以上の手段 (例: ワンタイム パスコード) を必要とします。

5. ファイアウォールとウイルス対策ソリューションを導入する

企業はファイアウォールを使用してネットワークを保護し、マルウェア、ランサムウェア、および関連する脅威から保護するためにすべての会社のデバイスにウイルス対策ソフトウェアを実装する必要があります。

6. システムパッチを最新の状態に保つ

企業は、自社のシステムがサイバー脅威の影響を受けやすいリスクを軽減するために、必要なパッチを最新の状態に保つ必要があります。

7. サードパーティのセキュリティ管理を確認する

業務の重要な側面をサードパーティ ベンダーに依存している企業は、ベンダーのシステムのセキュリティ侵害がビジネスに連鎖的な影響を与える可能性があるため、ベンダーのセキュリティ管理が適切であることを定期的に検証する手順を確実に整備する必要があります。

8. 定期的な脆弱性評価を確実に行う

管理サービスプロバイダーに依頼してシステムや Web サイトなどを定期的にスキャンし、ハッカーが悪用してシステムに不正アクセスする可能性のある脆弱性をタイムリーに特定して修復します。

9. インシデント対応計画を立てる

文書化されテストされたインシデント対応計画には、データ侵害などのセキュリティ インシデントが発生した場合に実行する必要がある手順の概要が記載されています。

10. 定期的なバックアップと災害復旧計画の実行

重要なシステムとデータを定期的にバックアップすると、セキュリティ侵害、誤った削除、または自然災害によるデータ損失が発生した場合に、長期にわたるビジネスの中断を防ぐことができます。災害復旧計画は、大規模な事業中断後に、利用可能なバックアップやその他のシステム コンポーネントを使用して、企業がシステムをオンラインに戻すのに役立ちます。

上記の安全対策は完全なリストではありませんが、データ セキュリティの安全対策のベースラインを提供します。また、業界または管轄区域にデータ セキュリティに関して特定の法律や規制がある場合は、適用されるすべての要件を常に把握し、実装する必要があることに注意することも重要です。

参考文献:

¹ https://www.verizon.com/business/resources/articles/small-business-cyber-security-and-data-breaches/ 

² 大規模なサイバー攻撃後に中小企業と中小企業が失敗する 4 つの主な理由 | CSOオンライン

Tosin Ojo、CISSP、CRISC、CISA、CISM、CIA、CFE、MSc について。 – CITSAP Consulting の創設者兼主席コンサルタント