人的エラーがサイバーセキュリティ侵害を引き起こす 7 つの方法

公開: 2022-04-19

Verizon が 2021 年に発行した広範なサイバーセキュリティ レポートによると、「データ侵害の 85% は人的ミスが原因である」とのことです。 サイバーセキュリティとデータ保護において、ヒューマンエラーは、ほとんどの場合データ漏洩につながるセキュリティ侵害を引き起こす可能性のある従業員の意図しない行動として定義されます。

たった 1 つのエラーが企業にとって致命的となり、数百万ドルもの損害が発生する可能性があります。 たとえば、Target は 2013 年に大規模なデータ侵害を起こし、会社に 9,000 万ドルの損害を与えました。 事件後、同社の評判は傷つき、顧客の信頼を取り戻すには長い時間がかかった。

同社はセキュリティ侵害が発生する可能性を予見し、それを防ぐことができたでしょうか? 最も一般的なヒューマンエラーとその防止方法について説明します。

目次の表示
  • サイバーセキュリティ侵害を引き起こす 7 つの重大な人的エラー
    • 1. パスワードの衛生管理
    • 2. 不適切なデータアクセス制御
    • 3. スパイウェア
    • 4. サイバーセキュリティに対する意識の欠如
    • 5. フィッシングメール
    • 6. 不十分なソフトウェアセキュリティ
    • 7. 遅延パッチ適用
  • 人的エラーのリスクを軽減し、サイバーセキュリティ侵害を防ぐ方法
    • 1. パスワード管理の改善
    • 2. 機密データへのアクセスの制御
    • 3. ウイルス対策およびスパイウェア対策ソフトウェアをインストールする
    • 4. サイバーセキュリティについて従業員を教育する
    • 5. 受信メールをフィルタリングする
    • 6. セキュリティ ポリシーを更新する
    • 7. ソフトウェアを定期的に更新する

サイバーセキュリティ侵害を引き起こす 7 つの重大な人的エラー

ハッカー-匿名-サイバーセキュリティ-犯罪-違法-データ-パスワード保護

ヒューマンエラーは意図的ではないが、それが避けられないという意味ではありません。 ただし、企業はセキュリティ ポリシーの脆弱性を特定し、リスクを軽減するための措置を講じることができます。 セキュリティ侵害を引き起こす可能性のある最も一般的な 7 つの人的エラーを次に示します。

あなたにおすすめ: 2022 年にオンラインを保護し続けるための 17 のサイバーセキュリティのヒント。

1. パスワードの衛生管理

人的エラー-サイバーセキュリティ侵害-1

NordPass が 50 か国で実施した 2021 年の調査では、「123456」の組み合わせが 1 億 3,000 万人がログイン目的で使用していることが明らかになりました。 2 番目と 3 番目によく使用されるパスワードは「123456789」と「qwerty」で、それぞれ 4,600 万人および 2,230 万人が使用しています。 熟練したハッカーであれば、このような脆弱なパスワードを 1 秒以内に解読できるでしょう。

不適切なパスワードを設定しているだけでなく、ほとんどの人は個人用と会社用の電子メール、ソーシャル メディア アカウント、その他のサービスに同じ組み合わせを使用しています。 何年もパスワードを変更せず、同僚とパスワードを共有したり、付箋に書いてモニターに貼り付けたりする人もいます。 Verizon によれば、パスワードに対するこのような不注意な態度がセキュリティ侵害の 61% を引き起こしているという。

2. 不適切なデータアクセス制御

人的エラー-サイバーセキュリティ侵害-2

誰かに不適切なアクセス権を割り当てることも、セキュリティ侵害を引き起こす可能性のある人的エラーの 1 つです。 組織によっては、無能な人物が機密データにアクセスする権限を持っている場合があります。 ただし、ほとんどの場合、このような広範なアクセス権は、制限するための特別な要求がない限り、デフォルトで従業員に付与されます。

不適切なアクセス制御によって発生する最も一般的なエラーは次のとおりです。

  • 機密データを誤ってまたは意図的に削除する。
  • データ侵害や情報漏洩を引き起こす可能性のあるシステム構成を作成する。
  • システム内で不正な変更を実行する。
  • 貴重なデータを含む電子メールを間違った受信者に送信する。

3. スパイウェア

ヒューマンエラー-サイバーセキュリティ侵害-3

従業員がオンラインで目の前のタスクを実行するための情報を探しているときに、無許可のソースからファイルをダウンロードしたり、不明なリンクをクリックしたり、ランダムなポップアップで「はい」を押したりする可能性があります。 このような操作を行うと、知らないうちにデバイスにスパイウェアが侵入する可能性があります。 あなたが毎日の仕事をしている間に、それがあなたのオンライン活動を記録し、あなたのログイン資格情報や個人情報を取得していることを疑うことさえないでしょう。 次に、この悪意のあるマルウェアは、収集した情報をユーザーの同意なしに使用する第三者に転送します。

最悪の点は、スパイウェアが 1 台のコンピュータから拡散し、企業のネットワーク全体に感染する可能性があることです。 期限までに検出できなかった場合、ビジネスに数百万ドルの損害が発生します。

ランサムウェア、マルウェア、セキュリティ、ウイルス、スパイウェア、サイバー犯罪、ハッキング、スパム

4. サイバーセキュリティに対する意識の欠如

人為的エラー、サイバーセキュリティ侵害、4

ほとんどの場合、セキュリティ侵害を引き起こす人的エラーは、偶然、または知識不足によって発生します。 残念ながら、一部の組織は成果を上げることに集中するあまり、サイバーセキュリティについて従業員を教育する必要性を無視しています。 知識の欠如によって人々が犯す可能性のある一般的な間違いをいくつか紹介します。

  • 疑わしい正規のソースからソフトウェアをダウンロードする。
  • VPN 暗号化を使用せずにレストランやホテルの公衆 Wi-Fi に接続する。
  • 出所不明の USD ストレージなどのデバイスの接続。

5. フィッシングメール

ヒューマンエラー-サイバーセキュリティ侵害-5

2020 年に Verizon が実施した調査によると、サイバーセキュリティ侵害の 20% はフィッシングメールが原因で発生しています。 このような電子メール内の悪意のあるリンクをクリックすることは、最も損害の大きい人的エラーの 1 つです。 報告によると、盗まれたレコード 1 件の平均コストは 133 ドルです。 エンドユーザーのコンピュータだけでなくネットワーク全体が感染した場合、組織にどれほどの損害が生じるかを想像してみてください。

6. 不十分なソフトウェアセキュリティ

ヒューマンエラー-サイバーセキュリティ侵害-6

従業員が日常業務を繰り返し行うと、時間の経過とともに不注意になり、セキュリティ手順を無視するようになります。 彼らは、昨日の仕事が順調だったら、今日は何も脅かされることはないと考えています。 セキュリティ手順に対するこの不用意な態度は、場合によっては企業全体のセキュリティ システムを危険にさらす可能性があります。 従業員が無視するセキュリティ手順は次のとおりです。

  • ソフトウェア アップデート: ほとんどの従業員は、ソフトウェア アップデートに時間がかかりすぎたり、最も都合の悪い時間に表示されたりするため、ソフトウェア アップデートをスキップします。
  • 場合によっては、従業員が業務の妨げとなるウイルス対策機能やセキュリティ機能をオフにすることがあります。 インターネットを積極的に使用しているときに、たとえ 1 分でもコンピューターを保護せずに放置するのは危険です。

7. 遅延パッチ適用

ヒューマンエラー-サイバーセキュリティ侵害-7

パッチ適用の遅延は前の点と密接に関係していますが、ソフトウェアの更新に重点を置いています。 サイバー犯罪者は常にソフトウェア セキュリティの脆弱性を探していますが、ソフトウェア開発者も同様です。 このような脆弱性を発見すると、すぐにそれを修正し、ソフトウェア アップデートとして知られるパッチを送信します。 アップデートを時間通りにインストールするユーザーはデバイスをセキュリティ侵害から保護しますが、遅延が 1 分ごとに侵害されるリスクが高まります。

Equifax 信用調査機関のケースは、ソフトウェアのアップデートを無視すべきではない理由を示す好例です。 2017 年、同社のソフトウェアにはセキュリティ上の脆弱性がありました。 同社はそれを認識していましたが、パッチ適用プロセスを遅らせました。 その結果、システムがハッキングされ、1 億 4,000 万人を超えるアメリカの顧客と 8,000 人のカナダの顧客の個人情報が侵害されました。

あなたも好きかもしれません:ビジネスでサイバーセキュリティに必要なドキュメントとプロトコル。

人的エラーのリスクを軽減し、サイバーセキュリティ侵害を防ぐ方法

サイバーセキュリティ保護プライバシー暗号化安全パスワードファイアウォールアクセス

企業はセキュリティ ポリシーのギャップを特定したら、予防措置を講じることができます。 間違いを犯すのは人間です。 そのため、リスクを完全に排除することは不可能ですが、リスクを最小限に抑えることは可能です。 以下の7つの対策をチェックしてください。

1. パスワード管理の改善

ポイント1

サイバーセキュリティ侵害の最大の原因はパスワードの衛生状態の悪さであるため、企業はパスワード管理に特に注意を払う必要があります。 組織は、単純なパスワードを使用したり、すべてのアカウントに 1 つの組み合わせを設定したりしないように、明確なポリシーを設定する必要があります。 パスワード生成ツールは、文字、数字、記号で構成される強力で信頼性の高いパスワードを作成するのに役立ちます。

さらに、すべての企業アカウントで 2 要素認証を有効にすることもポリシーの必須の部分にする必要があります。 アカウントの保護が強化され、ハッカーによる解読が不可能になります。

2. 機密データへのアクセスの制御

ポイント2

すべての従業員に機密データへの無制限のアクセスを許可することは、企業にとって大きな間違いです。 デフォルトでは、アクセスはすべての従業員に拒否されます。 次に、管理者は、従業員が業務を遂行するためにデータにアクセスする必要があるときはいつでも、外出先でアクセス許可を割り当てる必要があります。 ほとんどのシステムには、役割に応じて異なるユーザー権限レベルがあります。 たとえば、マネージャーがドキュメントを編集または削除する権限を持っている一方で、ジュニア スペシャリストはドキュメントの表示のみが可能です。 このようなユーザー権限の分割により、機密データが変更されたり、誤って削除されたりすることがなくなります。

3. ウイルス対策およびスパイウェア対策ソフトウェアをインストールする

ポイント3

ウイルスやスパイウェアは、デバイスやネットワークに破壊的な損傷を与える可能性があります。 したがって、その壊滅的な結果と戦うよりも保護される方が賢明です。 ウイルスとスパイウェアに対する最善の保護は、ウイルス対策ソフトウェアとスパイウェア対策ソフトウェアです。 McAfee Total Protection、Norton 360、Bitdefender Total Security は、使用する価値のある上位 3 つのスパイウェア対策ソリューションです。 このソフトウェアは、暗号化されたインターネット使用のための VPN と、外部の脅威からデバイスを保護するファイアウォールを提供します。

4. サイバーセキュリティについて従業員を教育する

ポイント4

人的ミスのほとんどは、サイバーセキュリティに関する知識の不足が原因で発生します。 このようなエラーのリスクを軽減する最善の方法は、情報セキュリティに関する従業員を教育し、意識を高めることです。 企業は頻繁にトレーニングを開催し、サイバー攻撃、その種類、防御手順について従業員に教える必要があります。 フィッシングメールと本物のメールを区別する方法、報告方法、セキュリティ侵害を検出した場合の対処方法を知っておく必要があります。 会社に特定のセキュリティ ポリシーがある場合は、従業員にそれを周知させてください。

サイバーセーフティセキュリティ従業員

5. 受信メールをフィルタリングする

ポイント5

フィッシングメールから身を守る 1 つの方法は、社外から受信したメッセージにフラグを付けることです。 ただし、スパムメールによっては会社の電子メール ドメインを模倣する可能性があるため、これは 100% の解決策ではありません。 そのため、不審なメールを検知するセキュリティソフトを利用するのも一つの選択肢です。

フィッシング対策にどう取り組むかに関係なく、ファイルをダウンロードしたり、不審なメール内のリンクをクリックしたりしないという経験則を設けてください。

6. セキュリティ ポリシーを更新する

ポイント6

企業は、サイバーセキュリティ手順に従う従業員の良心的な態度に依存すべきではありません。 機密データの取り扱い方法、パスワードやその他のセキュリティ ルールをいつどのように更新するかを説明した、明確に説明された企業セキュリティ ポリシーが必要です。 ただし、このガイドが時代遅れであってはなりません。 必ず定期的に更新し、新しいセキュリティ手順に慣れるように従業員に通知してください。

こちらもお勧めです:機械学習はサイバーセキュリティでどのように使用されますか?

7. ソフトウェアを定期的に更新する

ポイント7

ソフトウェア開発者がパッチをリリースするのは、脆弱性を発見し、脆弱性からユーザーを保護したいと考えているためです。 したがって、ソフトウェアアップデートを無視したりスキップしたりすると、デバイスが侵害されるリスクが高まります。 したがって、パッチが入手可能になったらすぐにインストールすることをお勧めします。