2025年4月17日
シンプルに、強く:ディーラーのためのサイバーセキュリティに関する洞察
はっきりさせておきたいが、私は突然サイバーセキュリティの専門家になったわけではない。しかし、英国を拠点とするサイバーセキュリティ・コンサルタント会社Salus Cyberの創設者であるジェイソン・カルワという、そのような人物と時間を過ごすことができた。
私たちは、昨年6月に名前は伏せるが、ある競合他社に起こったことを振り返ることからチャットを始めた。ランサムウェアの攻撃で1000万ドルから5000万ドルの損害を被ったが、被害を受けたディーラーは6億ドルの損害を被ったと推定されている。彼は、この攻撃はいくつかの一般的なポイントを示していると述べた。第一に、広範囲に及ぶサプライチェーンを持つ業界は、一度の攻撃で大規模なネットワークへの影響を与えることができるため、魅力的な標的となりやすいということ。第二に、オンライン・サービスが成長し、ソフトウェア・システムがAPIを通じて他のソフトウェア・システムに接続する能力を高めるにつれて、サイバー悪意にさらされる『攻撃対象領域』はかつてないほど指数関数的に大きくなっている。
「サイバー犯罪の仕組みは40年前から変わっていない。すべてのディーラーがデジタル・サプライチェーンの一部になっている。派手な銀の弾丸はない。安全性を維持するのは、退屈な日々の積み重ねなのです」。
特に、従業員がシステムごとに異なるユーザー名とパスワードを管理しなければならないような場合だ。これは、特定の競合他社についてのコメントではなく、一般的な発言であり、古いレガシーシステムを持つディーラーグループにとっては、よく考えるべきことであることを強調しておきたい。
次に話したのは、こうした悪意のあるエージェントが誰なのかということだ。特に大企業にとって、最大の脅威となる可能性が高いのは、プロフェッショナルの
ランサムウェアは(上記の競合他社が発見したように)非常に儲かる犯罪グループである。2024年の平均身代金要求額は約300万ドルと推定されている。しかし、多くの企業にとっては、お金の問題ではない。従業員による被害はよくあることだ。これは通常、従業員が転職する際に会社の知識を持ち出そうとする場合や、単に不満があり退職する際に混乱を引き起こそうとする場合に発生する。
問題の話はここまでだ。あなたが知りたいのは、サイバー・セキュリティ・インシデントによるビジネスへのリスクを減らすために何ができるかということだ。良いニュースは、その答えには、ほとんどの人が知っているような簡単なステップがいくつかあるということだ。サイバーセキュリティの専門家を雇う必要もなければ、従業員全員が常に監視下に置かれるような「お兄ちゃん」文化を導入する必要もない。私たちの友好的な専門家は、これを「退屈なことを本当にうまくやること」と表現した。
- 多要素認証を使用していることを確認してください。私たちは個人生活において、ほとんどすべてのオンライン・トランザクションで多要素認証を使用しているため、従業員は多要素認証に慣れ親しんでおり、今日のテクノロジーとネットワークはそれを迅速かつ容易にしています。
- あらゆるものにパッチを当て、素早く実行すること。今日、多くのソフトウェアは自動的にアップデートされるが、アップデートを実行しなければならない場合は、遅れないこと。
- パスワードの作成に関しては、ほとんどの人が予測可能だ。たとえ文字と数字や特殊文字を組み合わせざるを得なかったとしても、パターン化してしまう。ランダムに3つの単語を組み合わせるパスフレーズを考えてみよう。
- システムのアーキテクチャと、貴重なデータを保存する場所を見てください。貴重なデータは、家庭で貴重品を扱うのと同じように扱いましょう。壁の中に本当に安全な金庫がなければ、引き出しの一番上にすべてを入れることはないでしょう。
- 電子メールは依然としてサイバー窃盗団が最初に探るポイントであるため、電子メールシステムのセキュリティが適切に設定されていることを確認してください。
銀の弾丸など存在せず、100%安全なシステムなどありえないからだ。重要なのは、サイバー犯罪者が次の標的を探す際に、あなたのビジネスが近隣の企業よりもはるかに保護されていることがわかるようにすることです。常に狙われやすいターゲットが存在するものだ。
