- 2023/07/06
- 中堅企業向け
中堅・中小企業のためのコストを抑えた効果的なサイバーセキュリティ対策
Post by : Cybereason Japan Marketing Team
サイバー攻撃は組織の規模を問わず標的にされており、中堅・中小企業も真剣にセキュリティ対策に取り組まなければならない時代に突入しています。事実、警察庁の調べによると、国内で報告されたランサムウェア攻撃の被害にあった組織の内53%が中小企業であることが判明しています。
企業にとって、データを保護するために信頼できるサイバーセキュリティソリューションを導入することは重要ですが、企業を守るために、従業員がいかなる行動を取るべきかに関して従業員を教育することもまた重要です。残念ながら、サイバーリーズンが昨年11月に日本で実施した調査によると、77%の企業がサイバーセキュリティガイドラインを実施しているものの、50%の従業員が自社のガイドラインに参加したことがないと回答しています。
ネットワーク侵入のリスクを最小限に抑えるための最も迅速かつ最もコスト効率の良い方法とは、従業員を対象としてサイバーセキュリティ研修を行うことにより、外部の脅威に対する第一線の防御を強化することです。
サイバーセキュリティ研修を実施すると、従業員の意識レベルを即座に高めることができるほか、データ漏洩、ネットワーク攻撃、ランサムウェアの脅威などの危険から、より適切に保護するために必要となる実践的なスキルを従業員に提供できます。
データ漏洩の大半は、「人的ミス」に起因するものです。フィッシング、パスワードの漏洩、ネットワークセキュリティの脆弱性のような、企業データを攻撃者にさらす可能性があるイベントは、いずれも人的ミスが原因で発生します。したがって、人的ミスをなくすか、あるいは最小限に抑えることは、サイバーセキュリティを強化する上で強い影響力を持ちます。
企業セキュリティにおける人的ミスを減らすために、従業員を教育する最も効率的な方法は、サイバーセキュリティ研修を実施することです。
サイバーセキュリティ研修を実施する上での2つの選択肢
- サイバーセキュリティ研修を専門に提供する会社に依頼する。このようなサービスを提供する企業は数多くあり、社内リソースでスタッフを訓練する自信がない企業にとって、この選択肢は適しています。
- 社内でガイドラインを作成する。少々時間と手間はかかりますが、自社に固有のニーズに合わせてガイドラインをカスタマイズできると同時に、コストも抑えられるという利点があります。
社内ガイドラインを作成する場合、企業のニーズに合わせてガイドラインをカスタマイズすることになりますが、例として下記のような項目を含めることをお勧めします。
- 強固なパスワードを使用することの必要性
- 多要素認証の利用
- 定期的かつタイムリーなソフトウェアアップデートの実施
- リモートワーク(自宅、ホテル、空港、喫茶店など)でのVPNの使用について
- フィッシングメールの見分け方・識別方法
- 定期的にファイルをバックアップすることの重要性
上記2つの選択肢のうちどちらを選ぶにせよ、ニーズに最も適した方法を選択するためには、次に示すようないくつかの重要なポイントがあります。
■サイバーセキュリティ研修をすべての従業員に義務付ける
中堅・中小企業の多くは、サイバーセキュリティ研修プログラムを実施しています。しかし、上述の通り、調査対象企業の従業員の約半数が、自社のサイバーセキュリティ研修プログラムに参加したことがないことが明らかになっています。さらに、企業によっては、経営幹部クラスが自社のプログラムに参加していないこともありました。企業の経営幹部は、しばしばサイバー犯罪者の標的となっているため、これは大きな誤りだと言えます。
■サイバーセキュリティの重要性を明確にする
従業員をサイバーセキュリティ教育に触れさせる最初のステップは、サイバーセキュリティの重要性を周知させるために明確なメッセージを示すことです。このメッセージは、経営幹部により発表された後、すべての部署のマネージャーにより、従業員に対して繰り返し伝える必要があります。
■サイバーセキュリティ研修の参加記録を保管する
人事部は、すべての従業員がサイバーセキュリティ研修にタイムリーに参加できることを保証するために、個々の従業員がいつ研修に参加したかを記録しておく必要があります。
■プロセスを継続する
従業員がオンラインで身を守る方法に関する最新情報を常に取得し、新たな脅威や攻撃手法を認識できるようにするためには、サイバーセキュリティ研修を少なくとも年に1回履修することが推奨されます。
従業員にサイバーセキュリティ研修を履修させることで、会社を守るために自分たちがどのような役割を担っているのかを理解できるようになります。さらに言えば、従業員のサイバーセキュリティに対する意識を高めることは、データ侵害から守るために実施できる最も効果的なアクションの1つなのです。
サイバーリーズンでは「サイバーリーズン・セキュリティ・アカデミー」というサイトで、約3分で分かりやすく解説したサイバーセキュリティトレーニング動画などサイバーセキュリティに関するさまざまな情報をビジネスパーソンにも分かりやすい形で紹介していますので、興味のある方はぜひ参照されることをお勧めします。
もちろん、従業員の教育だけでは十分ではありません。信頼できるサイバーセキュリティソリューションも採用する必要があります。サイバーリーズンでは、中堅・中小企業特有のニーズに基づいて、カスタマイズ可能なサイバーセキュリティソリューションを開発しています。詳しくは、中堅企業向けソリューション〜日本で最も選ばれているEDRで巧妙なサイバー脅威を阻止〜をご覧ください。
エンドポイントセキュリティ選定ガイド
次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPP、EDR、MDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。
複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/
