脅威の状況は進化しており、攻撃対象領域は拡大しています。それでも、組織の最も弱い部分の一つは、善意の従業員が不注意でミスをしてしまうことです。
「善意の従業員は、仕事をより簡単に、より生産的にするために、消費者向けソフトウェアツールを使い続けています」と、グローバル最高情報セキュリティ責任者のエリック・シュミット氏は言う。 セジウィックは、テクノロジーを活用したリスク、福利厚生、統合ビジネスソリューションを提供するグローバルなクレーム管理会社です。「これらのツールには、クラウドストレージサービス、ファイル共有アプリ、メッセージングプラットフォーム、ビデオ会議ツール、個人用デバイスが含まれます。これらのツールは無害で便利に思えるかもしれませんが、企業のサイバーセキュリティに深刻なリスクをもたらす可能性があります。」
注目すべき脅威の 1 つは、消費者向け製品やサービスがエンタープライズ レベルのセキュリティとコンプライアンスを考慮して設計されていないため、データ漏洩、不正アクセス、コンプライアンス違反が発生する可能性があることです。
「この脅威に対処するには、従業員にITポリシーに関するトレーニングを実施し、シャドーITのリスクと、新しいツールを導入する前にITに相談することの重要性を強調する必要があります。企業は、クラウドアクセスセキュリティブローカー(CASB)を導入して、許可されていないクラウドサービスを監視および制御し、セキュリティポリシーの遵守を確保することができます」と、顧客認証およびID管理プラットフォームのCISOであるオマー・コーエン氏は言います。 デスコープ電子メールのインタビューで、彼は次のように語っています。「シャドーITに起因するデータ侵害やコンプライアンス違反が多数発生していることを考えると、この積極的なアプローチはサイバーセキュリティの維持に不可欠です。」
従業員がソフトウェアの更新を怠る場合もあり、その結果、脆弱性が修正されないままになる可能性があります。
「たとえ不注意であっても、機密情報を漏洩すると、コンプライアンス違反につながり、組織は規制当局から相応の罰則を受けるリスクにさらされることになります。さらに、脅威アクターは既知の脆弱性をスキャンすることが多く、一度特定されると、その脆弱性を通じて従業員のデバイスにアクセスし、そのアクセスを利用して組織のネットワークやシステムに侵入することができます」と、ビジネスコンサルティングおよびグローバルアドバイザリー会社のシニアマネージングディレクター兼アメリカ大陸のサイバーセキュリティ責任者であるジョーダン・レイ・ケリー氏は言う。 FTIコンサルティング 電子メールのインタビューで、次のように答えています。「強力な保護対策を講じていても、サイバーセキュリティ インシデントが発生すると、組織のサイバーセキュリティ プログラムが不十分であると思われてしまいます。これは投資家にとっての価値と顧客にとっての評判に悪影響を及ぼします。」
シャドー IT を発見、監視、管理するために、企業は次のことを実行する必要があると Kelly 氏は言います。
-
従業員のデバイスとデータの使用状況に関する監査と調査を実施します。
-
インストールされているソフトウェアを識別するには、Microsoft Intune などのクラウド ホスト型エンドポイント管理ソリューションを活用します。
-
ネットワーク監視および分析ツールを使用して、異常なまたは疑わしいネットワーク アクティビティを特定します。
-
クラウド アクセス セキュリティ ブローカー ソリューションを実装して、クラウド環境を管理および保護します。理想的には、相関および照合された結果を提供し、最も広範囲に及ぶ範囲を確保するために、単一の総合的なソリューションを実装する必要があります。
-
データ損失防止 (DLP) ツールを活用することも、機密性の高い会社のデータが紛失したり、許可されていない場所に漏洩したりするのを検出したり防止したりするために役立ちます。
以下に、従業員がサイバーセキュリティを損なうその他の方法と、その対処法をいくつか示します。