10月に入り、今年もCybersecurity Awareness Month(サイバーセキュリティ啓発月間)の時期がやってきました。Cybersecurity Awareness Monthは、米国欧州連合(EU)の両国が主導するグローバルキャンペーンです。Cybersecurity Awareness Monthは、オンラインセキュリティのベストプラクティスを促進するために、政府と産業界が協力して18年前から実施されています。

2021年に発表された「#BeCyberSmart」は、これまでと同様に関連性があり、毎週の動機付けは、サイバーセキュリティの重要な分野において、あなたとあなたの組織がどのように行動しているかを評価する機会を提供しています。

サイバー・スマートであること

常識は、サイバー攻撃から身を守るために大いに役立ちます。しかし、注意しておくべき場合もあります。時にはそれを思い出す価値があります。例えば、今年の初め、多くの人が予防接種カードをSNSに投稿し、個人情報を晒していました。FTCは、ワクチンカードをオンラインに掲載することは、個人情報の窃盗を誘発することになると警告する声明を発表しました。「例えば、あなたの生年月日と出生地を知るだけで、詐欺師はあなたの社会保障番号のほとんどの桁を推測できます。サイバー・スマートになるということには、オンラインで共有する情報や最新の脅威について情報を得ることも含まれます。」

また、強力なパスワードを作成することは、現在でも重要な課題です。しかし、今日、多要素認証(MFA)は、攻撃者に対する多層的な防御を構築するための最良の方法です。別の記事で説明したように、「100%正確でハッキングされない単一の認証方法を開発できれば、多要素認証は必要ありません。しかし、パスワードは見られたり、聞かれたり、推測されたり、迂回されたりする可能性があり、トークンは紛失したり盗まれたりする可能性があり、一卵性双生児や写真を使うことで生体認識システムを欺くこともできる可能性があります。そのため現在、アカウントのセキュリティには、多要素認証が非常に重要となっています」。MFAの詳細と設定方法については、MFAに関する詳細なガイドをご覧ください。

フィッシングに反撃!

私たちの予想通り、フィッシング攻撃は増加し、範囲も悪化しています。パンデミック以降、フィッシングの被害は急増しています。実際、2020年には世界のメールトラフィックの50%以上をスパムメールが占めていました。このような中、European Cybersecurity Monthでは、ウェブ攻撃がより巧妙かつ日常的になっていることをウェブブラウザに思い出させるために、#ThinkB4UClickというキャンペーンを行っています。

デジサート社ビジネス・ディベロップメント担当シニア・ディレクターであるDean Coclinは、最近の投稿で、「王子様からのラブレターやメッセージで個人情報が盗まれるのではなく、今日のフィッシング攻撃は、世界経済や政治、主要な組織を脅かす可能性があります。今日の攻撃者は、専門的に組織された大規模なグループで、金銭的な動機を持っています。組織は、フィッシングによって年間20億ドルの損失を被っていると推定されています。」と説明しています。

Coclinは、DMARC(Domain-based Message Authentication, Reporting, and Conformance)プロトコルを有効にすることが解決策になると説明しています。「組織でDMARCを有効にすることで、顧客になりすまそうとするフィッシングメールの数を減らすことができます。これにより、受信箱の乱雑さが軽減され、消費者が受信箱の中の電子メールメッセージを信頼しやすくなります。」とCoclinは説明します。DMARCの詳細や設定方法については、こちらのブログ記事をご覧ください。

Coclinが紹介している10のステップで、個人でもフィッシングから身を守ることができます。さらに、フィッシングを報告する際には、フィッシングメールをreportphishing@apwg.org、なりすまされている組織やReportFraud.ftc.govに転送することを勧めています。

探索する。経験する。共有する。

従業員は、企業のセキュリティを守るための最初の防衛線となるため、あらゆるレベルの従業員トレーニングとテストが必要です。

さらに、組織は現在どのような脅威が存在しているのか、また、それらの脅威から保護するためのベスト・プラクティスを認識する必要があります。デジサートでは、CA/B フォーラム、CA Security Council、Internet Engineering Task Force(IETF)など、さまざまな業界団体や標準化団体と経験や見解を共有しています。また月に一度、業界のニュースをまとめて紹介しています。毎月末のブログでは、PKIの最新情報をご紹介していますので、お楽しみに。

サイバーセキュリティを優先

今こそ、サイバーセキュリティを第一に考えるべきです。ベストプラクティスを導入することで、コストのかかる攻撃やダウンタイム、評判の低下などから組織を守ることができます。常識を働かせ、強力なパスワードを作成し、フィッシング対策を講じ、従業員を教育することが今年の優先事項です。さらに今後は、平均的な企業が50,000以上の証明書を管理していることから、2022年はPKIの自動化の年になるだろうと予測しています。今後6〜12ヶ月以内に自動化ソリューションを導入するために、今から準備を始めましょう。詳細はwww.digicert.com/campaigns/jp-pki-automationを参照してください。

UP NEXT
EUや全世界で法的拘束力を持つ電子署名を作成する方法

特集記事

ユーザーの受信トレイに貴社のロゴを表示する:VMC GMAIL PILOTから学べるヒント

10-27-2021

デジサートのPKIオートメーション調査から見えてきた3つのこと

証明書のピンニングはやめましょう