Core Securityは10月31日(米国時間)、「9 Scary Cyber Security Mistakes|Core Security」において、セキュリティ上行ってはいけない9つの行動について伝えた。セキュリティはソフトウェアで対応するだけでなく、ユーザーの教育も含めた対応が重要だ。セキュリティ対策の基本を定期的に従業員やユーザーに伝えることは効果が期待できる。
紹介されている9つの誤った行動は次のとおり。
- 弱いパスワードを使う
- ソーシャルネットワークサービスであれこれ情報を共有する
- 公衆Wi-Fiを利用する
- "サイバー犯罪やサイバー攻撃は自分には無縁である"と考える
- アップデートを適用しない
- セキュリティ対策として、必要なものがわかっていない
- ITチームに任せっぱなしにする
- システムからもWi-Fiからもログアウトしないで接続し続ける
- 自分のスマートフォンやタブレットデバイスなどを会社に持ち込ん使う
それぞれの行動に対して、次のような対処方法が紹介されている。
- 関連性のない数字や記号を含んだ長いパスワードを使用する。パスワードは他人と共有してはならず、頻繁に変更する
- ソーシャルネットワークサービスは友人や知人とつながりを持つ便利な方法だが、共有された情報はサイバー犯罪者にも利用される可能性がある。どの情報を公開し、どの情報は公開しないのか、しっかり考えて利用する
- サイバー犯罪者は公衆Wi-Fiを用意してユーザーからデータを窃取しようとする。公衆Wi-Fiを使う場合はVPNを利用するとともに、共有するデータはすべて暗号化する
- サイバー攻撃やサイバー犯罪が無縁のものであると考えない。小さなことに対しても目を配り対処する
- アップデートは楽しい作業ではないが必要なものなのであり、すべてのソフトウェアをアップデートする
- 自分が必要としているものは何であるか調査するとともに、どのようにすれば入手できるのかを調べる
- インシデント管理はITチームと運用チームだけが連携すればよいというものではなく、組織全体で連動する必要がある
- システムやWi-Fiに接続を続けることはセキュリティ上のリスクがある
- BYODの必要性は以前よりも増しており、BYODに関するポリシーを策定する必要性は以前よりも増している
セキュリティに対する意識は時間とともに緩みがちになる。定期的にセキュリティ対策を見直すとともに、自身の振る舞いを見直すことには意味がある。