#サイバーセキュリティ啓発月間
この10月は、米国と欧州連合(EU)の政府と民間企業の共同イニシアティブである「全米サイバーセキュリティ意識向上月間(NCSAM)」の20周年にあたる。
過去20年間で、私たちのサイバー・フットプリントは急速に進化した。デバイスとそれを使用する人々は至る所に存在し、セキュリティと警戒は最も重要です。デジタルの信頼、つまりオンライン上のやりとりの安全性に対する信頼は、コネクテッド・ワールドのバックボーンである。
2003年以降、世界は大きく変化し、2043年までにはさらに大きな変化を遂げるだろう。しかし、変わらないのは、デジタルの足跡に対する信頼を確立する必要性である。
今年のNCSAMのテーマは、サイバーフットプリントを保護するために消費者一人ひとりができる4つのステップを中心に据えている。
- 多要素認証(MFA)の有効化
- 強力なパスワードの使用
- ソフトウェアを常に最新の状態に保つ
- フィッシングの認識と報告
DigiCertが今年のテーマをどのようにサポートしているか、以下のヒントをご覧ください。
多要素認証の有効化
もし、100%間違いがなく、ハッキングされない単一の認証方法を作ることができれば、多要素認証は必要ないだろう。しかし、MFAは認証のレイヤーを提供し、他のレイヤーの潜在的な弱点を補うことで、追加のセーフガードとして機能する。
多要素認証(MFA)の目標は、2 つ以上のクレデンシャル(知っているもの(パスワー ドのようなもの)、所有しているもの(セキュリティ・トークンのようなもの)、そしてあなたに固有 のもの(バイオメトリクス認証のようなもの)を組み込んで、レイヤー防御戦略を確立することである。
ユーザー認証に複数の要素を組み合わせて使用することで、権限のない個人がコンピュータ、モバイル・デバイス、物理的な施設、ネットワーク、またはデータベースにアクセスする難易度を大幅に高めることができます。
実際、マイクロソフト社の報告によると、多要素認証は自動化された攻撃の約99.9%を阻止することが証明されています。MFAの詳細については下記URLを参照。
https://www.digicert.com/blog/a-guide-to-multi-factor-authentication
強力なパスワードとパスワードマネージャーの使用
パスワードは、パソコンへの不正アクセスに対する最初の防御手段として機能します。パスワードの強さは、悪意のあるソフトウェアやハッカーに対する保護レベルに直結します。このセキュリティ方法は、個人的なものであれ、仕事上のものであれ、アクセスするすべてのアカウントに適用されることを理解しておくことが重要です。
強固なパスワードを作るには、以下のような特定の基準を守ることが不可欠です。
- 強力なパスワードは、最低8文字の長さでなければなりません。
- 本名、ユーザー名、会社名など、個人情報が含まれていないこと。
- 以前のパスワードと大きく異なること。
- 完全な単語の使用は避けること。
- 強力なパスワードには、大文字、小文字、数字、特殊文字など、さまざまな種類の文字を使用する。
組織は、KeeperやLastPassのようなパスワードマネージャーを検討することもできる。これらのツールは、長くて複雑で、完全にランダムなパスワードを生成する機能を持ち、しかも自分でパスワードを覚える必要がない。ここでの重要なステップは、パスワードマネージャー自体に非常に強固なパスワードを設定すること(そして二要素認証を導入すること)だ。この予防措置により、悪意のある行為者があなたのパスワードすべてに一挙にアクセスできないようにすることができる。
強力なパスワードポリシーの作成については下記URLを参照のこと。
ソフトウェアのアップデート
ソフトウェアのアップデートは、既存の脆弱性からシステムを守る上で重要な役割を果たします。開発者は、既知の弱点に対処するためのアップデートを頻繁にリリースしているため、潜在的な攻撃者がこれらの欠陥を悪用する前に、アップデートを速やかにインストールすることをお勧めします。ソフトウェア・アップデートを自動的に適用するようにコンピュータやデバイスを設定するオプションがあり、プログラムを最新の状態に保つプロセスを簡素化できます。
ポップアップ広告や電子メールを通じて提供されるアップデートは、実際にはマルウェアが潜んでいる可能性があるので注意が必要だ。自動アップデートを有効にすれば、悪意のあるアップデートのリクエストに対応する必要がなくなり、セキュリティリスクを最小限に抑えることができる。
フィッシングの認識と報告
フィッシングはソーシャル・エンジニアリング攻撃の一種で、ウェブページ、テキスト・メッセージ、ソーシャル・メディアのダイレクト・メッセージ、電子メールの外観を操作し、信頼できる組織と合法的で安全なオンライン上のやりとりをしているとユーザーを欺くものです。
通常、フィッシングメールには、実際のウェブサイトを模倣した偽装ウェブサイトへのリンクが含まれています。しかし、フィッシング・サイトは、悪意のあるソフトウェアをインストールしたり、機密性の高い個人情報を収集したりする目的で作られています。
このデータには、クレジットカード情報、個人識別番号(PIN)、社会保障番号、銀行情報、パスワードなどが含まれる。そして、犯人はこの盗まれた情報を、なりすまし、金融詐欺、その他の不正行為に利用します。
不審なものに出会ったら、報告してください。フィッシング・メールは reportphishing@apwg.org に転送しましょう。フィッシングを避けるための10のヒントをご覧ください。
フィッシング対策として、企業はDomain-based Message Authentication, Reporting & Conformance (DMARC)を導入することができます。DMARCは、電子メールの認証と報告を管理するために設計された電子メール・プロトコルであり、フィッシングやなりすましに対する保護を強化する。
DMARCが有効化されると、組織はVerified Mark Certificate (VMC)を取得することができる。この証明書は、電子メールクライアントの送信者フィールドに自社のブランドロゴを刻印することを可能にし、メッセージが認証を受けていることを受信者に安心させる。これは、ソーシャルメディアのプロフィールに見られる認証ステータスに似ており、認証とDMARCのセキュリティ上の利点が追加され、フィッシングに対する防御が強化されます。
デジタル・トラスト新時代の到来
全米サイバーセキュリティ意識向上月間(NCSAM)の20周年は、20年にわたる目覚ましい技術進歩の記念すべき年です。これらの進歩を祝い、今年のNCSAMのテーマを掘り下げるにあたり、私たちは、デジタル上の信頼をより良く育むために、常に警戒し、新たな脅威に適応し、サイバーセキュリティを優先する責任を心に留めておくことをお勧めします。
デジタルトラストを確保するためのベストプラクティスについては、DigiCertブログをご覧ください。