ITやエンドポイント環境の安全性および堅牢性をどれほど高めても、ユーザが不正なEメールを開き、不正な添付書類をクリックすれば、サイバー犯罪者が組織を攻撃する隙が生まれます。
重要なソリューションの1つは、従業員を対象に、セキュリティとコンプライアンスに関するトレーニングを定期的に開催することです。ITチームが実施できるもう1つの対策は、疑わしいEメールを見つけたら速やかに警告を送信し、そのようなEメールを適切に削除したり、迷惑メールとして分類したりするための指示を与えることです。導入するその他すべての予防措置に加え、しっかりとしたユーザ教育および認識を提供することが重要です。
今や主要ステークホルダー全員がサイバーセキュリティのリスクをはっきりと意識していますが、幸いなことに、エンドポイントを保護するための考え抜かれたアプローチは、まったく難しいものではありません。その多くはI基本的なITの予防措置です。重要なことは、できるかぎり自動化して常に一歩先を行くことです。以下に、エンドポイントセキュリティの基本的なベストプラクティスを示します。
プラットフォーム、オペレーティングシステム、または場所にかかわらず、企業ネットワークに接続するすべてのデバイスを認識、追跡、および監視できる必要があります。これには企業所有のコンピューター、プリンタ、およびIoTデバイスだけでなく、従業員がBYOD(個人所有のデバイスの活用)プログラムの一環として使用するノートパソコン、タブレット、および電話も含まれます。
未承認の人物がこれらのデバイスにアクセスできないようにする必要があるだけでなく、企業ネットワークへのアクセスが想定されていないのは何か、つまり必要以上のアクセス権を持っているのは誰か、そしてどのデバイスが感染したかも明らかにする必要があります。また、統合エンドポイント管理システムを導入しておらず、複数の多様な管理システムの管理を強いられている場合であっても、エンドポイントのセキュリティを保証するためには、このレベルの可視性および管理が不可欠です。
企業ネットワークにアクセスするすべてのデバイスを可視化できれば、更新が必要なエンドポイントや、インストール済みまたはインストールが必要なオペレーティングシステム、アプリケーション、およびセキュリティソフトウェアへのパッチ適用を要するエンドポイントを特定できます。
すべてのデバイスに最新のセキュリティソフトウェアをインストールしておけば、エンドポイントでのマルウェアのブロックおよび削除に役立ちます。お使いのオペレーティングシステムおよびアプリケーションのベンダーは、セキュリティソフトウェアによって提供される保護に加え、ソフトウェアの脆弱性の修正に多額の投資を行っています。しかし、これらの更新およびパッチが効果を発揮するためには、お使いのエンドポイントが常に最新の状態に保たれている必要があります。
Zero Trustセキュリティへの取り組みの一環として、未承認のユーザが機密データにアクセスしたり、感染の恐れのあるマルウェアを拡散したりできないようにする必要があります。管理者は、ユーザが手持ちのエンドポイントからアクセスしているシステムはどれか、各ユーザのアクセス権はロールにふさわしいかを追跡する必要があります。企業のシステムおよびデータについて、職務の遂行に必要な最小限のアクセスをユーザに付与する必要があります。デフォルトでは、必要なシステムへの最小特権アクセスがユーザに付与されており、管理者資格情報は特定のユーザにのみ付与されています。
無人のワークステーションや、さらにはプリンタやカメラ、外付ドライブといったデバイスのUSBポートは、企業データの盗難またはネットワークのマルウェア感染に利用されることがあります。マルウェアの防止、データ盗難の回避、およびZero Trustセキュリティモデルの維持を実現するため、管理者は最小特権の原則を使用して誰がどこでどのUSBポートへのアクセス権を持つかを細かく制限する必要があります。
システムの脆弱性を生み出す可能性のあるソフトウェアバージョン、設定、またはデバイス構成を見つける必要があります。すべてのWindows、Mac、およびLinuxシステムに対してOpen Vulnerability Assessment Language(OVAL)スキャンを実行して、定期的にITセキュリティ監査を行ってください。これにより、セキュリティおよび設定ポリシーに従っていない環境およびシステム内で、脆弱性を見つけて修正できます。