IoTのサイバーセキュリティ:特効薬はどこにあるのか?
Jane Porter
クラウドベースのサービスを利用する全ての人にとって、セキュリティは重要な懸念事項です。毎週のように、機密の企業データや個人データが悪意のある第三者と共有されたり、ダークウェブに流出したりする組織のハッキング成功事例を耳にします。CrowdStrikeの2024年グローバル脅威レポートによると、過去1年間でクラウド侵入の総数が75%増加しました。
では、企業と個人はどのように自分たちを最も効果的に保護できるのでしょうか?簡潔に答えるなら、万能薬は存在せず、いずれはハッキングされる可能性が高いということです。すべてのサイバー犯罪者を阻止できる単一のツールやプロセスは存在せず、サイバー攻撃の構造は絶えず進化しています。
考慮すべき重要な項目は以下の通りです:
- サイバーセキュリティで多層防御を提供し、攻撃成功の可能性を最小限に抑えるにはどうすればよいか?
- ハッキングを可能な限り迅速に検出するにはどうすればよいか?
- 脅威が検出された際に、侵害の可能性があるすべての経路を遮断するにはどうすればよいか?
- サイバー攻撃に対応するためにどのような手順を踏む必要があるか?
問題の一部は、私たち全員がセキュリティを求める一方で、ボタン一つで複数のウェブサイトにログインできる利便性も享受したいということです。自動生成された複雑なパスワードとパスワード保管庫がネットワークベースの攻撃に対して役立っている一方で、ハッカーがメール詐欺やハードウェア自体を通じて私たちのマシンにアクセスした場合、これらは無効化されます。私たちはシステムにセキュリティを任せたいと考えますが、仕事中でも個人の時間でも、データを安全に保つための「攻撃ベクター」を最小限に抑える安全なプロセスに従わなければ、これは指数関数的に困難になります。
私たちは、最近のセキュリティ事件、IoTへの影響、そしてセキュリティ露出を軽減・防止する方法について議論する定期的な月次ブログを執筆していきます。この最初の投稿の残りの部分では、サイバー攻撃の成功を最も効果的に防ぐための複数のセキュリティ層を作成することの重要性に焦点を当てます。ハッカーが機密システムにアクセスする様々な方法があるため、ユーザーレベルと管理レベルの両方で複数のタイプのソリューションを含める必要があります。
階層化セキュリティには多くの異なるアプローチと標準があり、これらのほぼすべてがIT専門家や組織を対象としています。次回以降のブログエントリでは、ユーザーの視点から階層を見ていきます。
- まず、物理的セキュリティを見ていきます:第一線の防御としてハードウェアを保護するために何をする必要があるか?
- 次に、認証と認可を見ていきます:ソフトウェアへのアクセスを可能な限り安全に保つために何ができるか?
- その後、アプリケーション自体について議論し、それらが適切に動作し、実行される環境の全体的なセキュリティ態勢に貢献することをどのように確保できるかを説明します。次回の記事ではエッジで実行されるアプリケーションを、その次の記事ではクラウドで実行されるアプリケーションを見ていきます。
- その後、IoT固有の懸念事項に焦点を移し、デバイスと接続性および管理のベストプラクティスを見ていきます。
- このシリーズの最後に、すべてをまとめて、データの絶え間ない流れ、接続、変化する環境が私たちの絶え間ない警戒を必要とすることを示します。
物理的セキュリティから始めましょう。これはサイバーセキュリティの中で最も無視され、最も語られることの少ない側面です。しかし、デバイスが侵害されれば、他のすべてのセキュリティ層は意味をなさなくなります。The Telegraphの最近の記事では、紛失したノートパソコンがランサムウェアハッカーよりも大きな金銭的脅威をもたらすと報告されています。
デバイスには多くの形態があります。企業レベルでは、オンプレミスサーバーは限定的で適切なアクセス権を持つ施錠された部屋に保管する必要があります。個人レベルでは、スマートフォン、タブレット、ノートパソコン、コンピューターに責任を持ちます。これらはすべて企業資産やデータへのゲートウェイを提供する可能性があり、その多くをほぼ常に持ち歩いています。これらのデバイスが侵害されないようにするために何ができるでしょうか?答えの一部には、一般的なウェブブラウザやアプリケーションに保存され、デバイス間で同期されて迅速にサインインできるパスワードが含まれます。誰かが私たちのデバイスの1つでも手に入れれば、すべてのアカウントにアクセスできてしまいます。そこで、デバイスを保護するために私たち全員が取れる簡単な手順をいくつか紹介します。
仕事用と個人用のデバイスを分ける
当然のことのように聞こえますが、デュアルSIM電話や職場でのBYODにより、仕事と個人生活の境界線を曖昧にしがちです。しかし、もし誰かが音楽フェスティバルやナイトクラブに仕事用コンピューターを持参することを提案したら、正気を失ったと思うでしょう。しかし、同じ電話を仕事と個人の目的で使用している場合、まさにそれと同じことをしているのです。最も安全な方法は、個人の時間には仕事用電話を家に置いておくことです。それが不可能な場合は、別の電話を使用してください。
これはもちろん柔軟性の犠牲を伴います—仕事中は2台の電話を持ち歩く必要があります。
電話用ストラップケースを検討する
私たちの多くは今やAppleやGoogleウォレットを持っているので、友人との夜の外出に必要なのは電話と家の鍵だけです。楽しんでいるときに電話を取り出し、置いて、数分間忘れてしまうのは簡単です。電話用ストラップケースは、電話を紛失しないようにする非常にシンプルな方法です。
公共の場ではプライバシーガードを使用する
公共の場で仕事用ノートパソコンを使用する際は、プライバシーガードの使用を検討してください。これらは画面の正面に直接いない人には金色の画面を表示するため、ノートパソコンをクールに見せます。セキュリティ上の利点は、まさに誰も遠くから、または角度から何を作業しているかを見ることができないということです。
古いデバイスを安全かつ確実に段階的に廃止する
古いデバイスをどのように処分するかを考えてください。ほとんどの仕事用デバイスはIT部門に返却され、そこで再設定されて処分されるか再利用されます。家庭用デバイスは引き出しの中でほこりを集めながら放置され、最終的に捨てられるかもしれません。すべての場合において、データが残らない、または回復できないようにデバイスを常にサニタイズする必要があります。
要約すると、物理的デバイスセキュリティのためのシンプルで効果的な手順を取ることは、個人データと仕事データの両方の第一線の防御です。
これらの予防策を講じた後にデバイスを紛失した場合は、それをワイプする方法を知っていることを確認してください。主要メーカーには「紛失モード」があり、アカウントにログオンしてデバイスをブロックしたり、極端な場合にはデバイスからデータをワイプしたりできます。その後、すべてのパスワードをリセットする必要があります。これについては次回のブログで詳しく説明します。企業デバイスが盗まれた場合は、できるだけ早くセキュリティ部門に連絡してください。彼らが正確に何をする必要があるかを教えてくれます。
安全にお過ごしください。