世界中で多くの組織が従業員に自宅で仕事をするように指示したことで、サイバー犯罪者が無差別的に攻撃を行うようになりました。プルーフポイントが広範な脅威インテリジェンスを分析した結果見えてきたのは、従業員が新しいリスクにさらされているということです。外出自粛の期間中、従業員が安全を保つために重要なポイントがいくつかあります。
新型コロナウイルスの感染拡大は、世界中で多くの恐怖を生み出しています。この状況下において、プルーフポイントからのセキュリティ意識向上プログラムに関する推奨事項は、フィッシング シミュレーション演習を緩和し、その一方でコミュニケーションの強化、セキュリティ意識の向上、およびトレーニングに集中することです。
無料のセキュリティ意識向上リソース(従業員向け)
プルーフポイントは、セキュリティ意識の向上と従業員のトレーニングに有効な2つの無料パッケージを提供しています。
- 最大の攻撃経路からの保護のために、無料のフィッシング意識向上キットをご活用ください
- 在宅勤務向けセキュリティ意識向上キットをダウンロードできます。これにはプルーフポイントのSecurity Beyond the Officeトレーニング モジュールへの無料アクセス(2020年7月1日まで)、WiFi、VPN、データ保護などに関するユーザー中心のコミュニケーションおよびセキュリティ意識向上コンテンツが含まれます。
仕事環境が変化した際のコミュニケーションの重要性
セキュリティ意識を向上させるために、積極的なコミュニケーションを行うことをお勧めします。オフィスでの仕事と異なり、在宅勤務の場合は、家と仕事の境界線が曖昧になり、ユーザーはハイリスクな行動をとってしまう傾向があります。サイバー犯罪者はこのような状況を利用し、恐怖を煽って危険な添付ファイルやリンクをクリックさせるなどの攻撃を行う可能性があります。
セキュリティ意識向上トレーニング ソリューションを導入していない場合でも、ユーザー向けにどうすべきかのベストプラクティスとアドバイスをメールで送信したり、それらの知識についての社内Wikiページを作成したり、関連する情報をユーザーに提供したりすることで、人を支援し、セキュリティ環境を維持できます。
また、ユーザーへの期待を明確化することをお勧めします。たとえば:
- 社内のコミュニケーションについて、経営幹部や人材と調整する
- 社内のコミュニケーションについて、ユーザーにガイダンスを提供する(添付ファイルを使わない、社内Wikiへのリンクのみにするなど)
ユーザーに送信するメールのサンプルは以下のとおりです:
--------------------------------------------------------------------------------------------------------------------------------------------
件名:社内のコミュニケーションについて
皆さんこんにちは、
{会社名} は、社内での安全なコミュニケーション方法について、最新の情報を共有します。
従業員の皆さんや組織全体に害を及ぼす可能性のある、社内からのメッセージを装った攻撃が増加しています。
以下は、私たちや社内の他の人たちからのメッセージについて留意すべきことです:
- {会社名} が社内のコミュニケーションに添付ファイルを用いることは、決してありません。その代わりに、社内wikiのコンテンツへのリンクを掲載します。{ここにwikiリンクを挿入}
- {会社名}は、____________に関する最新情報を、常にこのメールアドレスから送信します:{公式メールアドレス}
- アップデートやその他の情報など、__________に関する第3者からのメッセージを受け取った場合は、リンクをクリックしたり、添付ファイルをダウンロードしたりせず、疑わしい場合は{PhishAlarmまたはabuseメールボックス}を使用して報告してください。
- 信頼できる関係者から_________に関する情報を受け取った場合は、行動する前に別のチャネルを通じて連絡するか内容を確認してください。サイバー犯罪者はメールアドレスを「偽装」して、メッセージが信頼できる送信者からのものであるように見せかけることがあります。
ご不明な点がありましたら、お知らせください。
--------------------------------------------------------------------------------------------------------------------------------------------
WiFiおよびVPNを使った通信
家庭内のネットワークというのは、特に新しい話ではありません。そのため、ほとんどの情報セキュリティの専門家は、すべてのユーザーが自宅のWi-Fiをパスワードで保護していると考えています。しかし、現実は大きく異なります。プルーフポイントの「2020 State of the Phish」レポートでは、世界中の何千人もの社会人に自宅のWi-FiのITハイジーン(衛生状態)について尋ねたところ、次のことがわかりました。
- ネットワークをパスワードで保護しているのは、49%のユーザーのみでした
- Wi-Fiルーターをデフォルトのパスワードから変更したのは、31%でした
- Wi-Fiルーターのファームウェアを確認または更新したことがあるのは、19%でした
また、仮想プライベート ネットワーク(VPN)についての認識と使用率が低いことがわかりました。以下に示すように、ユーザーの多くはVPNが何であるかを知らないか、VPNを使用する必要性を感じていません:
この現状を見ると、ユーザーへの期待を明確化し、リスクについて再教育し、VPNなどのツールを利用する方法に関するガイダンスを提供するために、ユーザーとのコミュニケーションを強化することに価値があると考えられます。もしVPNの普及がうまくいっていない場合、プルーフポイントのゼロトラストソリューションであるProofpoint Metaをご検討下さい。
自宅でのデータ保護についてのコミュニケーション
企業の機密データを保存および共有する方法に関するユーザーの意識は、思ったほど高くありません。2020 State of the Phishレポートによれば、ほぼ半数のユーザーが、友人や家族に会社支給デバイスでのメールの確認/返信、オンラインでの買い物、メディアのストリーミング、ゲームプレイなどを許可しています。
また、内部脅威対策プラットフォームであるObserveITの担当者は、内部関係者が関与したインシデントのほぼ3分の2が不注意によるものであり、悪意のあるものではないことを発見しました。ObserveITが見つけた不注意によるインシデントの例には、許可されていないクラウドネットワークでのデータ共有、公共Wi-Fiの使用、個人の電子メールを使った機密データの送信が含まれていました。
従業員が自宅で作業している場合、Wi-FiやVPNの利用習慣と同様に、データの取扱いに関する注意事項と利用可能な企業リソースについて定期的に注意喚起することには価値があります。
今回のように、健康状態に関するイベントがグローバルに発生した場合には、セキュリティ意識向上プログラムとコミュニケーションを状況にうまく適合させることが重要です。そのため今後数週間は、個々の組織が遭遇する環境やシナリオに左右されない、効果的で魅力的なセキュリティ意識向上プログラムを実行するためのガイダンスを、ブログへの投稿、ウェビナー、ポッドキャストのミニシリーズなどを通じて提供してまいります。