• 人為的ミス、ランサムウェア、AI セキュリティはサイバーセキュリティの最大の懸念事項です。
• ほとんどの中小企業や中規模企業には、リスクを管理するための予算や人員がありません。
• 定期的なヘルスチェックは、組織のセキュリティ体制の改善に役立ちます。

企業はサイバーセキュリティ プログラムにおいて多くのギャップに直面しています。重大な人的リスク要因、古いデバイスやパッチ未適用のデバイス、セキュリティ ツールの活用不足などが問題の一因となっています。

定期的なサイバーヘルスチェックが役立ちます。こうした定期的な評価により、多要素認証（MFA）やその他のセキュリティ対策でカバーされていないアプリケーションを発見したり、トレーニング不足や機密性の高い職務のために重大なリスクをもたらす従業員を特定したり、特定のセキュリティツールの導入方法とベストプラクティスのギャップを突き止めたりすることができます。

多くの中小企業はSOCに十分な予算を割くことができず、製品、サービス、インフラの導入後の持続可能性や進化について考慮していないケースが少なくありません。また、ツールを継続的に管理できる人員を確保できているかどうかについても、必ずしも考慮していないケースが多いです。Novacoastでは、私は日々企業と協力し、セキュリティギャップの解消とセキュリティ体制の改善を支援しています。その経験に基づき、企業がリスクを軽減するために実行すべき5つの重要なステップを特定しました。

リスクを軽減する5つの方法

1. MFAで保護されていないサービスを探す

最も高度な訓練を受け、セキュリティに精通した従業員であっても、フィッシング攻撃に引っかかったり、不正なリンクをクリックしたりする可能性があります。これは、攻撃者によるAIの活用の増加により、ますます容易になっています。人間的要素はしばしば最も脆弱な要素となるため、企業はMFAによる基本的な保護だけでなく、あらゆる場所にMFA制御を導入する必要があります。

従業員がデバイスやアプリのデフォルトの認証情報の変更を忘れたことはありませんか？MFAなら攻撃を阻止できます。攻撃者がユーザーの正規の認証情報を盗んだり購入したりしたことはありませんか？MFAなら、正規のユーザー名とパスワードが攻撃者に悪用されるのを防ぐことができます。

脅威アクターはマシンからマシンへ、そしてアカウントからアカウントへと移動する能力に長けているため、すべてのアカウントをMFAで保護することが必須のベストプラクティスとなっています。企業はあらゆる場所でMFAポリシーを施行する必要があります。もはや難しいことではなく、導入しない言い訳はもはやあってはなりません。

2. ソフトウェアとデバイスのパッチステータスを確認する

パッチ適用は依然として困難を極めています。組織は複雑で、責任範囲も分散しており、セキュリティチームは資金不足に陥りがちであるため、パッチ適用プロセスを維持するのは依然として困難な作業です。しかし、パッチを適用しないという決断は、責任を負わされるという決断に等しいのです。

運用チームとセキュリティチームの間のギャップを埋め、パッチを確実に適用することが重要です。AIを活用した開発は標準化が進みつつあり、エクスプロイトが存在する重大/高レベルの脆弱性だけをパッチ適用対象としてフィルタリングする時代は、段階的に廃止される必要があります。エクスプロイトの開発ペースは飛躍的に加速しており、脆弱性対策プログラムが追いついていなければ、危機に瀕するでしょう。

検出、レポート、パッチ適用の間のギャップを埋めるのに役立つツールは数多く存在します。スキャンとパッチ適用のアクティビティを統合し、レポートの矛盾を解消し、プロセスを合理化してテストと展開を容易かつ迅速に行うことが、この長期的な問題の解決の鍵となる場合が多いでしょう。脆弱性とパッチ適用のプロセスのヘルスチェックを実施し、すべてのパッチ適用を迅速に実行できる方法を確認してください。

3. バックアップとリカバリのプロセスをテストする

ランサムウェアはビジネスを破滅させる可能性があります。ランサムウェアのインシデントは、あらゆる組織に壊滅的な打撃を与える可能性があります。残念ながら、ランサムウェア・アズ・ア・サービス（RaaS）などのツールが、攻撃者がより効果的なランサムウェア攻撃を展開するのを支援しており、サイバー犯罪者にとってハードルを下げています。AIは、かつての文法に難のあるフィッシング詐欺を、説得力のあるメールスレッド、チームチャット、ディープフェイク動画へと急速に変化させ、そのレベルを引き上げています。（3月には、シマンテックとCarbon Black Threat Huntersが、エージェントAIがスピアフィッシング攻撃をどのように支援できるかを実演しました。）

企業は攻撃の検知と防御だけに頼ることはできません。バックアップとリカバリのプロセスを厳密にテストし、最悪のシナリオでも復旧できることを確認する必要があります。ランサムウェア攻撃が成功した場合でも、効果的なバックアップとリカバリによってダウンタイムを最小限に抑え、ビジネスの真のレジリエンス（回復力）を確保できます。

4. 定期的にフィッシングの訓練とシミュレーションを実施する

サイバーセキュリティにおいて、人間の従業員はしばしば最も脆弱な部分だと思われがちですが、適切な訓練を受ければ、優れたリソースにもなり得ます。偽メールを報告するよう訓練された従業員は、他の従業員の感染を防ぐことができます。例えば、支払いポリシーについて訓練を受けた従業員は、ビジネスメール詐欺（BEC）攻撃に騙されにくくなります。

最も回復力の高い企業は、サイバーセキュリティ意識向上のためのトレーニングとフィッシングシミュレーションを頻繁に実施しています。現代のセキュリティチームは、単なるフィッシング対策から人的リスクへと進化を遂げています。フィッシングキャンペーンに関するデータを追跡し、ブラウザアクティビティや実際のセキュリティインシデントなどの追加データと組み合わせることで、企業がリスクの高いユーザーを特定し、トレーニングの重点をどこに設定すべきかを把握できるよう支援しています。フィッシング攻撃に遭う従業員の数をゼロにすることは不可能ですが、トレーニングは依然として非常に有効です。（その他のケースについては、フィッシング耐性のある多要素認証（MFA）が対応します。）

5. AIの使用状況と潜在的なデータ漏洩を評価する

従業員は業務でAIを活用しています。メルボルン大学とKPMGによる大規模調査によると、従業員の58%がAIを活用しており、特に新興国の従業員がAIを活用している可能性は非常に高いことがわかりました。開発者の約90%は、コーディング作業の補助としてAIを活用しています。多くの従業員が「帳簿外」でAIを使用しており、「シャドーAI」に関連するあらゆるリスクが生じています。

セキュリティおよびITチームは、シャドーAIのリスクを回避するために、常に最新の動向を把握し、AIの承認された使用に関するポリシーを策定する必要があります。AIの活用と企業データの保護に関するポリシーを未定義の企業は、機密データの漏洩リスクに晒されます。AIの活用方法によってセキュリティを確保すべきベクトルは多岐にわたるため、ユーザーが使用しているものや企業が許容するものを評価してください。これにより、企業はブラウザ拡張機能やプロキシ型ソリューションを用いてSaaSベースのAI利用を制限したり、開発者／トレーニングデータなどのためのAI固有のセキュリティツールを導入したり、さらにはオンプレミスの自社ハードウェア上で、またはクラウドIaaSプラットフォーム上で自社LLMを実行したりするなど、必要な制御を特定できるようになります。

レジリエンスに投資する時が来た

多くの企業にとって、規模や高度さに関わらず、常に最優先事項は事業の継続と生産性への悪影響の回避です。ここで概説する5つのステップに従うことで、組織のレジリエンス（回復力）を強化できます。BroadcomのSymantecおよびCarbon Blackソリューションの提供における深い専門知識を持つNovacoastは、お客様のIT環境におけるあらゆるセキュリティギャップを発見し、解消するために必要なヘルスチェックを提供します。