昨年5月、EUでGDPR(EU一般データ保護規則)が施行されました。 これによって、中小企業を含めて該当する企業は、EU市民の個人情報を取り扱うすべての企業は、責任を持ってデータを保護するための措置を講じる必要があります。
あいにく、プロのサイバー犯罪者は、一般的に使用されるOSやアプリケーションの欠陥などの新たな脆弱性に常に狙いを付けています。欠陥を見つけると、攻撃者は通常2週間以内にその脆弱性を利用するためのエクスプロイトを作り、多くの場合入手した情報をダークWebで販売します。
次に彼らは、インターネットをスキャンして、この新たなエクスプロイトを防御できないシステムを探します。脆弱なシステムが見つかると、ランサムウェアを使ってデータを人質にしたり、盗んだデータを悪用したり、仮想通貨をマイニングするためのソフトウェアをインストールするようになります。
これらが実行された企業では、いずれもビジネスに多大な悪影響が及び、社会の信頼を失ってしまうこともあります。さらにGDPRの下では、重大な違反を犯した場合には全世界の年間売上の4%、軽微な違反の場合は2%の、いずれも巨額の制裁金が科せられます。ブリティッシュ・エアウェイズやマリオット・インターナショナルなどの大企業は、すでに巨額の制裁金が科されています。しかし、データ侵害のほとんどは、高度なサイバー攻撃に備えていない中小企業に対する日和見型攻撃です。
朗報としては、たとえセキュリティ侵害の標的になったとしても、制裁金を回避できる場合もあるということです。GDPRの下では、以下の3つの要因が制裁金に影響します。
1 侵害によって漏洩した個人データの量
2 検知機能を導入するなど、侵害の発生を予防するために会社が実行した手順
3 侵害が発生した後に会社が実行した手順
すなわち、侵害に対する防御策を講じることにより、サイバー攻撃が発生する可能性を減らすだけでなく、侵害が発生した場合でも多額の制裁金を回避することができるのです。
データ侵害を防ぐ
データ侵害が組織に損害を与えないようにするには、従来の予防策では不十分です。潜在的な脅威に対して、予測、防御、検知、対応のための能力が求められます。中小企業の場合、これらすべての分野の基本的な専門知識とソリューションを手に入れて社内のITスタッフをサポートする必要があります。
サイバー攻撃の予測
これには、システムのスキャン、社内外の脅威の特定、潜在リスクの報告、GDPRを始めとする規制への準拠、シャドーITの可視化などに対する能力が含まれます。F-Secure Radarは、ターンキーの脆弱性管理プラットフォームで、これらの機能を提供しています。
サイバー攻撃の防御
これには、 F-Secure Protection Service for Business (PSB)のようなエンドポイント保護製品を導入することで、マルウェア、ランサムウェア、スパム、オンライン詐欺などの従来型のセキュリティ脅威から防御する能力を備えることができます。
サイバー攻撃の検知と対応
これには、既存の防御をすり抜けることに成功した攻撃を検知し、そのような攻撃に効果的に対応し、再度の侵害発生を防ぐ能力が含まれます。検知と対応は、革新的な戦術や誰もまだ見たことがないゼロデイ攻撃を使用した攻撃者に対する最善の防御策です。F-Secure Rapid Detection & Responseは、ビジネスが損なわれる前にサイバー攻撃を阻止することができる、使いやすく効果的で自動化されたサービスです。
エフセキュアのサイバーセキュリティ診断(英語)は、10分程であなたの会社のサイバーセキュリティに対しての評価を行うことができます。
診断が完了すると、改善を要する分野のリスト、世界中の同業他社と比較したグラフ、サイバー攻撃に対する予測、防御、検知、対応能力に関する評価結果を入手することができます。
カテゴリ
