コンテンツにスキップするには Enter キーを押してください

ITリーダーがサイバー衛生を日常業務に取り入れる方法

投稿日 2025年7月22日

サイバーセキュリティのリーダーは、外部から、時には内部からの脅威から組織を守る責任を担っています。しかし、CISOや他のテクノロジーリーダー自身が、同僚に推奨している基準を守っていなければ、サイバーセキュリティのメッセージは無視されてしまうかもしれません。

テクノロジーリーダーにとって、「言うことは聞け、やることは真似るな」という姿勢は、セキュリティ侵害につながる可能性があります。これらの専門家は、日々の業務でサイバー衛生のベストプラクティスを守ることで、模範を示す立場にあります。 

「人々がどのように自分を騙そうとしているのか、どんなツールを使っているのかという点で、警察官のような考え方をするようになります」とキャンパス・アパートメンツのCIO、アンドリュー・マーシャルは言います。「日常的または頻繁に関わっていなければ持てない状況認識が得られます。」

テクノロジーの専門家が、どのようにサイバーセキュリティを日常のルーチンに取り入れられるかをご紹介します。

パスワードの注意を実践する

すべてのサイバーセキュリティリーダーが自分のアドバイスに従っているわけではありません。Constella Intelligenceの2021年の調査によると、ITセキュリティリーダーの4人に1人が仕事と個人のログインで同じパスワードを使い回していることが分かっており、39%は過去30日間に仕事用メールのパスワードを変更していませんでした。 

セキュリティリーダーたちがこの4年間でセキュリティ態勢を改善していることを願いますが、基本的なサイバー衛生は依然として一般的な課題です。最近のCNETの調査によると、米国の成人のほぼ半数が、パスワードの使い回しや個人情報を使ったパスワードの作成など、リスクのあるパスワード習慣を持っていることが分かりました。約4分の1は、他のアカウントと共有しているパスワードを使用しています。

Cengage GroupのCTO、ジム・チルトンは、仕事でもプライベートでもパスワード管理ツールやパスワードナビゲーターを利用しています。彼はそれぞれに別々のパスワードツールを使い、パスワードが似通わないようにしています。これは、従業員にも推奨していることで、「やや複雑なパスワードに感嘆符や1を付け足すだけでは不十分だ」と語っています。 

マーシャルも、テキストメッセージではなく専用アプリによる多要素認証を利用しています。テキストメッセージは便利ですが、暗号化されておらず、SMSメッセージは詐欺の主要な手段となっています。

キャンパス・アパートメンツでは、テキストSMSの利用は禁止が社内方針です。従業員同士のやり取りはSlackなどのアプリを使うようにしています。

「ビジネスの文脈では、テキストSMSの利用は追跡が非常に難しいため、許可していません」とマーシャルは述べています。 

最新情報をチェックしましょう。Cybersecurity Diveの無料デイリーニュースレターにご登録ください。

フィッシングを職場でも家庭でも防ぐ

従業員にフィッシングについて教育することは、セキュリティ意識の高い企業にとって不可欠です。懐疑的な姿勢は教育によって身につけることができます。 

「このような考え方を常にしているので、個人生活や家族の生活にも注意が生まれます」とマーシャルは話します。

予防的な考え方は、従業員をより懐疑的にさせることができます。彼の妻は最近、集団訴訟に関する通知を受け取り、それが詐欺かどうかすぐに尋ねてきたそうです。「何事にも深く疑いを持つことは本当に有益です。」

また、ソーシャルエンジニアリング型のフィッシング攻撃に利用されないよう、SNSにどんな情報を載せるかにも注意しています。

個人用端末と仕事用端末を混同しない

仕事用端末で個人的な作業をすると、サイバー犯罪者に付け入る隙を与えてしまうことがあります。

チルトンは、これらを明確に分けています。「私の仕事の世界と家庭の世界はまったく別物です」と彼は言います。それぞれに専用の端末を持ち、自宅のオフィスも実際の自宅とは別のネットワークにしています。また、自宅のNestサーモスタットやAlexaなどのIoT機器もすべて最新の状態に保っています。どの端末にもアプリの数を制限し、仕事用端末に個人用アプリを入れたり、その逆をしたりしません。

このような予防策を講じているものの、彼は必ずしも自分自身を手本にしているわけではありません。誰もが毎日サイバーセキュリティの世界で生きているわけではなく、彼のような深いセキュリティ知識を持つことを期待すべきではないからです。

その代わりに、従業員がどこでミスをしやすいか、どう防ぐかについて実際の事例を使って説明するようにしています。特に印象的だったのは、ある役員の給与が誤った銀行口座に振り込まれた事例で、役員自身が完全に協力してしまっていたというものです。これが「一般の人にとってはるかに良い例を示すことになる」と彼は語っています。

翻訳元: https://www.cybersecuritydive.com/news/cybersecurity-practices-IT-executives/753584/

Published in cybersecuritydive-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です