Salesforceは、顧客管理システム (CRM) の世界有数のプロバイダーです。同社のクラウドベースのソリューションは、世界中の企業の効率改善、市場調査の合理化、他のSaaSサービスとの統合を支援しています。セールスフォースは非常に安全に利用できますが、2019年に同社を狙ったフィッシング攻撃など、データセキュリティにおける人為的ミスに関わるインシデントが発生しています。

データセキュリティとは、企業が所有する個人情報や機密データを保護することを意味しています。Salesforceの場合、これには顧客記録、財務情報、詳細な連絡先情報などが含まれます。企業がデータ保護の制御を失うと、その結果は壊滅的なものとなり、データ侵害による企業の平均損害金額は435万ドルに上ります。salesforce がフィッシング攻撃を受けた際には、約20万件の顧客アカウントが影響を受け、3カ月後には個人データがディープウェブで売りに出されているのが発見されました。

今日のデジタル時代では、悪意ある犯罪者は常にセキュリティの弱点を悪用しようと目を光らせています。Salesforceのケースは、最も強固なセキュリティ対策が施されていても、1つの脆弱なリンクがセキュリティ対策を迂回するには十分であるという世界的な問題を浮き彫りにしている。しかし、成功した攻撃の影響を最小限に抑えるために講じることのできる対策はあります。

1.  組織のセキュリティ・プロトコルを起動する

攻撃が確認されたら、直ちにIT部門に報告し、すべてのシステムをシャットダウンし、全社的なパスワードのリセットを実施します。IT部門は、その攻撃が本物の脅威かどうかをチェックします。組織のセキュリティシステムが十分に強固であれば、このような攻撃があった場合に備えて対策を講じることができます。また、社内ネットワークにマルウェアがないかスキャンすることもできます。

また、できるだけ早くネットワークからデバイスのプラグを抜くことも重要です。システム全体がシャットダウンされている場合、サイバー犯罪者がデバイスや個人情報にアクセスできる機会は少なくなります。ネットワークから遮断することで、マルウェアが他のデバイスに広がることも防ぐことができます。

2. 人事部門を巻き込む

フィッシング攻撃の後、人事担当者は、IT部門の助けを借りて攻撃が発生した一連の流れをよりよく理解するために、悪意のあるリンクをクリックした従業員と話をする必要があります。

人事チームは、従業員に対してサイバーセキュリティのトレーニングも提供する必要があります。従業員に対してサイバー衛生習慣を維持するよう教育および奨励することで、サイバーセキュリティの文化を促進する必要があります。また、経理部門や財務部門の責任者など、リスクの高い役職に就いている従業員に対しては、専門的なトレーニングを提供することも検討ください。

新入社員の入社式では、個人データへのアクセスや使用に伴うリスクに焦点を当てたサイバーセキュリティトレーニングを実施することが重要です。人事チームは、違反が繰り返された場合の結果を盛り込んだセキュリティポリシーを作成もできます。

3.  マルウェアと個人情報盗難のチェック

ITチームは、ファイル、デバイス、サーバー、アプリケーションのディープスキャンを実行し、侵害後に攻撃者が社内ネットワークにマルウェアを残していないかどうかをチェックすることができます。マルウェアが発見された場合、通常業務を再開する前に、完全なシステム・パージを実施してマルウェアを除去する必要があります。個人情報窃盗の可能性を検知するためには、請求書発行やバンキング・プラットフォームなどの機密システムを監視し、不審な動きがないかを確認する必要がある。また、これらのシステムを運営している企業にも、侵害があったことを直ちに知らせる必要があります。

フィッシング攻撃は、人間の感情に巧みに付け込んでおり、経済的、感情的、精神的な混乱を引き起こす可能性があります。データセキュリティ侵害は、組織のビジネスを危険にさらすだけでなく、顧客の個人情報も危険にさらすことになり、顧客と関係を損なう可能性があります。フィッシング攻撃が発生した場合、それがどんなに大惨事に見えても、被害を最小限に抑える方法は存在します。セキュリティに対する意識、知識、トレーニング、そしてテクノロジーは、最も巧妙な脅威でさえも無力化することができるのです。WithSecure™ Cloud Security for Salesforceの支援により、Salesforce をターゲットにしたフィッシング攻撃による損失を軽減することができます。

もっと詳しく知りたい方は、今すぐご連絡ください。