セキュリティベンダー「チェック・ポイント・ソフトウェア・テクノロジー」社は、サイバーセキュリティにおける人的要因への対策に関するレポートを公表した。
同社CTOは、組織の保護においてテクノロジーだけでなく人的要素への対策も重要と強調し、セキュリティインシデントに至る原因が高度なハッキングだけではなく人的ミスによって発生することも少なくないとしている。
代表的な原因として、フィッシングメールをはじめ、パスワードの脆弱性、偶発的な情報流出により組織のネットワークの脆弱化などが挙げられており、インシデントを引き起こすのは若手だけではなく経営幹部なども例外ではないとのこと。
人為的リスクを軽減するための戦略には、フィッシング攻撃やサイバートレーニング、認証情報の管理といったセキュリティ環境の構築に焦点を当てることが重要で、各対策の具体例は以下の通り紹介されている。
フィッシング攻撃への対策:企業組織のメールだけでなく従業員が使用するモバイル端末個々への保護も重視する
サイバートレーニング:コンプライアンスを満たすために1度限りのセキュリティ演習を実施して終わるのではなく、サイバー脅威が進化し続けていることを見直す必要がある。進化する脅威に対抗するには継続的に対策方法と情報を更新する。
認証情報の管理:ゼロトラストアーキテクチャの採用、シングルサインオン(SSO)の実装、多要素認証(MFA)の使用、定期的な監査、アカウントロックアウトポリシーの実装、パスワードの有効期限とローテーションの適切な管理をチェックする。
これら対策の導入が人的要因への対策として効果的とされており、堅牢なセキュリティ構築につながるという。
【参考記事】
The Human Factor of Cyber Security
https://blog.checkpoint.com/security/the-human-factor-of-cyber-security/