ソーシャルメディアやメールのアカウントが乗っ取られて勝手に使われていた、企業のウェブサイトがハッキングされて顧客の個人情報が流出した……、このような情報セキュリティに関する犯罪は一部の有名人や企業だけでなく、インターネットを利用している限り誰でも被害に合う可能性はあります。
個人としての対策はもちろん、社内の大切な情報やお客様から預かっている情報が漏えいすると企業としての信用にも関わるため、企業も対策が必要です。
以下が、独立行政法人情報処理推進機構による「情報セキュリティ10大脅威2017 組織編」 です。
1. 標的型攻撃による情報流出
2. ランサムウェアによる被害
3. ウェブサービスからの個人情報の窃取
4. サービス妨害攻撃によるサービスの停止
5. 内部不正による情報漏えいとそれに伴う業務停止
6. ウェブサイトの改ざん
7. ウェブサービスへの不正ログイン
8. IoT機器の脆弱性の顕在化
9. 攻撃のビジネス化(アンダーグラウンドサービス)
10. インターネットバンキングやクレジットカード情報の不正利用
経営者として、これらの脅威からビジネスを守るにはどんな対策が必要でしょうか。
適切なパスワードの設定と管理
企業でも、個人でも情報を守る最初の一歩は、適切なパスワードの設定と管理です。外部からかんたんに推測できないように、パスワードは複雑なものを設定し、定期的に変えましょう。
できるだけ長く・複雑なパスワードにする
パスワードを入力する際はできるだけ長いものにしましょう。
vAriEdCaPitaliZAtiOnや$pec!alch@r&cters?のように、可能なら大文字や小文字、数字、記号を組み合わせた複雑なものにしましょう。パスワードがなかなか思いつかない時は、パスワード生成ツールを使ってみてはいかがでしょうか。
参考:パスワードジェネレーター
かんたんに推測できないようなパスワードにする
社名や経営者の名前、会社の住所や電話番号など、かんたんに入手できる会社にまつわる情報を使ったり、password12345のようにかんたんに思いつくような単語、辞書に載っている単語をパスワードにするのはやめましょう。
サービスやウェブサイト、アプリごとにパスワードを変える
会社の代表メールのパスワードと顧客情報を含む販売管理ソフトのパスワードを同じものにしていませんか。万が一パスワードが漏えいした場合、メールの内容が読まれてしまうだけでなく、同じパスワードを使って顧客情報にアクセスし、お客様の氏名や電話番号、取引履歴等の情報も外に漏れてしまいます。
面倒だと思っていても、利用するツールごとにパスワードを変えましょう。もし、管理が面倒でしたら、パスワードを管理するツールを導入してみてはいかがでしょうか。
定期的にパスワードを変える
長く複雑でかんたんに推測されないパスワードを設定したら、そこで安心してはいけません。情報の安全を守るには定期的にパスワードを変えましょう。
ただし、パスワードを変更する際に、前のパスワードと似たようなパスワードを使ったり、変更作業を面倒に思ってかんたんなパスワードにしたりすると、変更してもあまり意味はありません。パスワードを変更する時も推測されにくいように工夫をしましょう。
お持ちのSquareアカウントのパスワードを変更したい場合、パスワードの再設定についてはこちらをご確認ください。
また、ハッキングの技術は日々進歩し、パスワードの管理に完璧な対策というものはありません。常に新しい情報を確認し、適切な方法を選ぶようにしましょう。
参考:ネットワークビギナーのための情報セキュリティハンドブック(内閣サイバーセキュリティセンター)
ウェブサイトやメールに違和感があったら信用しない
銀行やクレジットカード会社、最近ではオンラインストアから送られてくる配送のお知らせ等、これらのサービスを装ったメールを送り、メールに載っているURLから偽サイトに誘導し、パスワードや口座番号、クレジットカード情報等の大切な情報を盗み取る、フィッシング詐欺。フィッシング詐欺から情報を守る方法は、偽メールや偽サイトだと見抜くことです。
たとえば、Squareのアカウントをお持ちの場合、アカウントにログインする際のURLはhttps://squareup.com/login です。「いつものログイン画面にそっくりだけど、あれ?URLがいつもとちょっと違う」と少しでも違和感を持ったらパスワード等の情報は入力しないようにしましょう。
メールも同様です。銀行やクレジットカード、よく使うオンラインストアならいつも同じメールアドレスからお知らせが来るはずです。いつものメールアドレスと一文字違う、ちょっとだけ画面のデザインが違う、ほんの少しでも変だと感じたらメールに記載されているURLはクリックしないようにしましょう。判断に迷ったら、メールを送ったと思われる企業に電話をして問い合わせるか、公式ホームページで確認しましょう。多くの企業では公式ホームページに偽メールや偽サイトのサンプルを載せています。
最近では企業の名前を装うだけでなく、友人や知人に扮してメールやソーシャルメディアを使ったメッセージを送ってくることもあります。「友達なのにどうしてこんな情報を聞いてくるんだろう?」と思ったら、直接電話をかけたり、違う手段で連絡を取り、本人から送られてきてものなのかを確認しましょう。
もし、偽サイトに大切な情報を入力してしまった場合は、速やかに暗証番号やパスワード等の関連する情報を変更し、クレジットカードやキャッシュカードは使用中止の手続きを行いましょう。
困ったときには、各都道府県のサイバー犯罪相談窓口で被害の相談をすることができます。
2段階認証を有効にする
大切な情報を守るもう一つの方法として、2段階認証があります。「2ファクタ認証」または「マルチファクタ認証」とも呼ばれ、パスワードの他にワンタイムコードと呼ばれるもう1つの数値や文字列を確認する方法です。
多くのオンラインサービス(たとえばGmail、Apple、Amazonなど)の設定で2段階認証を有効にすることができます。Squareをご利用の場合も、ログインの際に2段階認証を有効にすることができます。設定の方法はこちらをご確認ください。
内部にも目を光らせる
大切な情報が流出する原因は外部要因だけではありません。上述の「情報セキュリティ10大脅威2017 組織編」 でも、内部不正による情報漏えいとそれに伴う業務停止があります。
独立行政法人情報処理推進機構が2016年に行った調査によれば、内部不正による情報漏えいが起きた理由として、6割弱が「うっかり」でした。ルールを知らなかった、漏えいさせる気はなかった、悪意が全くないとしても一度情報が漏えいしてしまったら取り返しがつきません。うっかりから業績に影響するような被害が出ることもあります。
調査からは、情報を持ち出す主な手段はUSBメモリーであること、また、300人以下の企業では過半数がUSBメモリーの取り扱いについて特に利用制限やルールを設けていないことが分かっています。
ルール作りと情報セキュリティに関する一人ひとりへの意識付け、これらは社員の人数にかかわらず企業にとって欠かせないことではないでしょうか。
参考:企業ブランドイメージアップに繋がるコンプライアンス強化とは
執筆は2017年8月9日時点の情報を参照しています。当ウェブサイトからリンクした外部のウェブサイトの内容については、Squareは責任を負いません。