企業にとって、サイバーセキュリティはもはや無視できません。セキュリティ侵害は、ビジネスを脅かすダウンタイム、ブランド評価の低下、顧客離れ、罰金、経済的損失をもたらします。また、2020年前半のサイバー攻撃は、2019年全体のサイバー攻撃よりも多いと言われており、Webサイトのセキュリティを守ることがこれほど重要な時期はありません。 このようにリスクが高まっているにもかかわらず、多くの企業は、自社、自社のWebサイト、そして顧客を守ることに関して後れを取っています。ここでは、企業がWebサイトのセキュリティに関して犯している最も一般的な間違いをご紹介します。

1. 従業員のサイバーセキュリティに対する意識の低さ

サイバーセキュリティ侵害の最も一般的な原因はヒューマンエラーです。迷惑なリンクをクリックしたり、パスワードの保護を怠ったりと、従業員はサイバー攻撃を最も頻繁に引き起こす原因となっています。しかし、このような状況になるとは限りません。サイバー保険会社のCFC Underwriting社のデータによると、従業員のサイバーセキュリティ教育・訓練プロセスがしっかりしていれば、保険金請求の38％は回避できたとのことです。 企業がWebセキュリティに対する意識を高め、組織内に強固なデジタルセーフティ文化を醸成することで、侵害を防ぐことができるという話は心強いものです。しかし、サイバーセキュリティに対する意識の低さと攻撃の成功には明確な関連性があるにもかかわらず、多くの雇用者が行動を起こしていません。2019年の調査では、英国企業のうち、過去12カ月間にスタッフにサイバーセキュリティ研修を実施したのはわずか20％であることが判明しました。 解決方法：組織のセキュリティは、最も弱い部分があるからこそ強固なものとなります。従業員にサイバーセキュリティの基本的な知識を身につけさせることは、セキュリティ関連の悩みを軽減する鍵であり、組織を守るための最も安価で効果的な方法の1つです。 スタッフにサイバーセキュリティのトレーニングを行わない理由として、「どこから手をつけていいかわからない」というのがよく挙げられます。では、どこから始めればよいのでしょうか。手がかりになりやすいものから始めましょう。

• 退社する従業員のアクセス権を直ちに剥奪し、システムへのアクセス権を維持できないようにするとともに、退社する従業員の個人所有のデバイスから会社のデータを消去します。
• ソフトウェアが古いとサイバー犯罪者に狙われることになるので、ソフトウェアのパッチやアップグレードを適時にインストールしましょう。
• マルウェアの94%は電子メールを介してネットワークに侵入しており、悪意のあるリンクや添付ファイルは企業にとって大きな問題です。つまり、悪意のあるリンクや添付ファイルは、組織にとって大きな問題です。また、メールのスパムフィルタリングだけでは対処できません。怪しいメールを認識し、回避し、フラグを立てる方法を従業員に教えるトレーニングを実施することで、メールセキュリティの甘さに積極的に対処しましょう。KnowBe4社のフィッシング・ベンチマーク・レポートによると、1年間のフィッシング・テストとトレーニングで、87％の改善が見られました。
• 保護されていないユーザー名とパスワードも一般的なセキュリティ脅威であり、61%の企業が500以上のアカウントに期限切れでないパスワードを設定しています。強力なログイン認証情報の作成とその効果的な保護方法について指導したり、パスワードを安全に保存・作成してくれるパスワードマネージャーを利用したりしましょう。
• 従業員が自分のデバイスを職場で使用すること、すなわち「Bring Your Own Device」（BYOD）は、ビジネスを新たな脅威にさらすことになります。役割ベースのアクセス、二要素認証、および従業員の強力なパスワードを使用することで、リスクを軽減することができます。
• 紛失や盗難にあったデバイスのデータは、サイバー犯罪者にとって新たな機会となります。オフィス以外での会社の機器の使用方法について従業員を教育し、デバイスの紛失を報告するプロセスを考案します。
• 職場でのソーシャルメディアの利用に関する明確なガイダンスを提供する。5つの組織のうち1つは、ソーシャルメディアを介して配布されたマルウェアに感染しています。
• 従業員が自分のデバイスにパッチやソフトウェアのアップグレードを常にインストールすることを確認してください - これらのデバイスには理由があります。
• 第三者のソフトウェアやITプロバイダーとの取引におけるサイバーセキュリティの重要性について、従業員を教育する。

これらの簡単な対策に従うことで、多くの一般的なサイバー脅威を未然に防ぐことができます。

2. 企業のサイバーセキュリティポリシーを持っていない

英国のデジタル・文化・メディア・スポーツ省の調査によると、約4分の3の組織がサイバーセキュリティを最優先事項としているものの、その話が行動に結びついていないことがわかりました。正式なサイバーセキュリティポリシーと手順を導入しているのは、わずか27%です。サイバーセキュリティポリシーがなければ、攻撃にさらされる可能性があります。 効果的なサイバーセキュリティポリシーは、ITシステムや企業データを保護するためのルールと責任を定めたものです。このポリシーは、従業員のセキュリティ意識を高めることと密接に関係しています。 マカフィーでは、サイバーセキュリティポリシーを、"従業員、コンサルタント、パートナー、役員、その他のエンドユーザーが、オンラインアプリケーションやインターネットリソースにアクセスしたり、ネットワーク上でデータを送信したり、その他責任あるセキュリティを実践するためのルールを説明した文書 "と定義しています。 サイバーセキュリティポリシーは、企業のパブリックイメージと信頼性を高めることにもつながります。顧客、パートナー、株主、コンサルタント、従業員は、あなたの企業が自分たちのデータを保護できることを知る必要があります。企業のサイバーセキュリティ・ポリシーは、あなたがセキュリティに真剣に取り組んでいることを示す素晴らしい方法です。

解決方法：会社のセキュリティポリシーを明示した正式な文書を作成し、会社のITシステム、ネットワーク、デバイスに対して何ができて、何ができないのか、従業員に明確なガイダンスを提供します。 優れた企業のサイバーセキュリティポリシーは、以下のような全社的な基準を示しています。

• ソーシャルメディアの利用について
• インターネットアクセスの制限
• パスワードの要件（保存、更新、および生成)
• リモートアクセス
• デジタル署名
• 機密データの取り扱い
• 無線通信
• 電子メールのセキュリティ対策
• サードパーティアプリケーションの利用
• サイバーセキュリティの脅威やインシデントへの対応

サイバーセキュリティの脅威の性質は急速に変化しているため、サイバーセキュリティポリシーを最新の状態に保つことが重要です。ポリシーを定期的に見直し、発展させるための時間を計画してください。

3. 熟練したサイバーセキュリティ人材を採用できないこと

多くのサイバー攻撃の原因はヒューマンエラーですが、それはコインの一面に過ぎません。技術的な脆弱性も大きなサイバーリスクとなります。そこで必要となるのが、熟練したサイバーセキュリティ人材です。しかし、Marlin Hawk社の調査によると、企業の3分の2がシニアセキュリティ人材の確保に苦労していると回答しており、62%が今後5年間で人材確保がさらに困難になると懸念しています。

幸運にもサイバーセキュリティの専門家を手に入れることができたとしても、その専門家はほとんどの時間を火消しに費やすことになるでしょう。十分な時間やリソースがなければ、サイバーセキュリティの専門家は、企業のウェブサイトのセキュリティに長期的に貢献する対策を考案し、実施することができないかもしれません。

サイバーセキュリティのスキルに対する世界的な需要は供給を上回り続けており、すでに過密状態にあるIT部門はかつてないほど複雑なサイバー脅威に対処していますが、多くの企業が攻撃から効果的に身を守るために利用できるリソースは単に十分ではありません。

解決方法：その答えは、自動化です。サイバーセキュリティのプロセスに自動化を取り入れることで、スキルギャップを埋めることができ、限られた人員やリソースであっても、脅威を継続的に監視し、企業の成長に合わせてサイバー保護を拡大することができます。

Siteimprove Web Securityのようなウェブ・セキュリティ監視ツールの中には、ウェブサイトの脆弱性を特定するだけでなく、事前対策や是正措置を提案するように設計されているものがあります。Webサイトの証明書の有効期限を追跡するなど、これらのタスクの一部は、Webサイトの管理者が簡単に管理できるため、サイバーセキュリティの専門家はより高度なセキュリティリスクに注力する時間を確保することができます。

Mastercard社のCSOであるRon Green氏によると、自動化技術はサイバーセキュリティの専門家にとって良い助けになるとのことです。「機械学習と自動化は、現在および将来のCISOにとって本当に役立つものです。「しかし、すでにセキュリティ・オペレーション・センターにいる人間は、監視しなければならないものに圧倒されており、人手が足りないからといって、単純に人を増やし続けることはできません」。

4. Webサイトのセキュリティをビジネス上の問題ではなく、IT上の問題として扱うこと

EY Global Board Risk Surveyのデータによると、約半数（48％）の取締役会が、サイバー攻撃やデータ漏洩が今後1年間で自社のビジネスに中程度以上の影響を与えると考えていることがわかりました。しかし、取締役会は、Webサイトのセキュリティを単なるコンプライアンス上の課題として認識しているケースが圧倒的に多く、イノベーションを可能にするものとして認識しているのはごく一部の7%に過ぎません。

サイバーセキュリティをIT部門だけの責任と考えている企業は、Webサイトのセキュリティを優先することで得られる戦略的メリットを見逃しています。これらのメリットには、顧客の信頼を得ること、知的財産を保護すること、ブランドを守ることなどが含まれます。サイバーセキュリティの脅威の範囲と深さを過小評価することで、自らを危険にさらしているのです。

ここでは、サイバー犯罪に対する積極的なアプローチがビジネスに不可欠な理由を説明します。

• 現在、データ侵害の平均コストは386万ドルとなっています。目に見える金銭的損失に加えて、被害を受けた企業は、顧客離れの上昇、収益性の低下、信用の低下、評判の悪化などの影響を受けます。
• ほとんどの企業にとって、知的財産（IP）は最も価値のある資産です。IPには、特許、意匠、企業秘密、機密データ、従業員の知識などが含まれます。しかし、これらの知的財産が誰の手にも渡っていない状態を想像してみてください。米国だけでも、知的財産権の盗難による企業の損失は、毎年6000億ドルにのぼります。
• ほとんどの消費者（87％）は、自分のデータを責任をもって取り扱ってくれる企業を信頼できない場合、ビジネスを他に移すと答えています。
• 費用のかかる弁護士費用や訴訟。例えば、一般データ保護規則（GDPR）の法律では、企業に対して最大で年間売上高の4％の罰金を科すことができるようになりました。GDPRの罰金は、法律の初年度だけで総額6,300万ドルに達しました。
• セキュリティ侵害に対処するために企業のリソースを振り向けることは、業務効率の低下につながります。
• 違反行為を調査するための特別委員会や委員会の設置には、時間と資源を割かなければなりません。
• また、公表された情報漏えいの後に、消費者、株主、社会の信頼を回復するための広報コストも忘れてはなりません。

それは単なる技術的な問題だと思われますか？いいえ、これはビジネス上の問題であり、しかも喫緊の課題です。

Webサイトのセキュリティをビジネス上の課題として優先的に取り組む上で、最大の障害となっているのが それは、トップレベルのサポートの欠如です。悲惨なデータ漏洩のニュースが次々と報じられているにもかかわらず、ウェブサイトのセキュリティを企業の最重要課題と考えている経営幹部はわずか5%です。これは、サイバーセキュリティを担当する役員がいる企業が3社に1社以下であるという英国のデータとも関連しています。

安全性の高いウェブサイトは、ビジネスに貢献します 幸いなことに、このギャップが解消されつつあることを示す証拠があります。現在、29%の企業が、Webセキュリティが役員会議のテーブルに置かれていることを認識しています。適切に対処している企業にとって、優れたサイバーヘルスは市場における重要な差別化要因となり得ます。実際、AT&T Cybersecurityが行った調査では、大手企業の73%が、優れたサイバーセキュリティがビジネス全体の成功に貢献していると回答しています。

解決方法：Webサイトのセキュリティにトップレベルの席を与えること。非常に効果的なセキュリティを実現するには、シニア・リーダーシップによる献身的な支持が必要です。これを実現するには、最高情報セキュリティ責任者（CISO）を任命する必要があります。10社中4社が経営陣レベルでサイバーセキュリティの責任者を置いているに過ぎないことを考えると、CISOの存在は企業の競争力を高めることにつながります。CISOは、サイバーセキュリティのリスクとROIについて上級管理職を教育し、セキュリティを中心とした企業文化を支持してもらう役割を担います。

自分の目の届くところで起きたセキュリティ侵害について、取締役会や上級管理職が直接責任を問われるケースが増えています。Equifax社の会長兼CEOであるリチャード・スミスは、1億4,500万人の顧客の機密情報が流出した2017年のハッキング事件の後、退任しました。このことを念頭に置き、ウェブサイトを保護するために必要なリソースを求めるには、これほど良い機会はありません。

5. Webサイトのセキュリティ監査を後回しにしている

企業が自らを守るための最善の方法は、事後対応ではなく、事前対応である。定期的なセキュリティ監査は、企業がセキュリティの脆弱性を特定し、リスクのレベルを判断し、予防措置を講じるために不可欠です。しかし、リソースと時間がかかるため、監査はどうしても必要な場合にのみ実施されることが多い。

セキュリティの専門家がいない組織にとって、セキュリティ監査は特に困難です。手動での監査には、多くのウェブ管理者が持っていない技術的な専門知識が必要です。

その結果は？データと脅威の優先順位に基づいて脆弱性に対処するのではなく、推測に基づいてセキュリティ戦略を追求するため、よくても無駄な支出が発生します。最悪の場合、抜け穴と脆弱性に満ちたWebサイトになってしまいます。

解決方法：Webサイトの重要な脆弱性を自動的にスキャンするツールを導入しましょう。単発のチェックだけでは不十分です。もちろん、何もしないでいるわけにはいきません。セキュリティの本質は動的なものです。つまり、潜在的なセキュリティ上の脅威がないか、継続的にサイトをスキャンすることが絶対に必要なのです。

Webサイトのセキュリティ監査の手間を省くには、いくつかの方法があります。

• 定期的に自動化されたセキュリティ監査により、テクノロジーが監査を管理します。
• サイトのセキュリティ状態を分析するには、自動セキュリティ監査と手動テストを組み合わせるのが最も効果的です。Siteimprove Web Securityのようなツールは、WebチームとITチームがセキュリティの脅威を一元的に管理するためのコラボレーション・プラットフォームとして機能します。

6. サイズは重要ではないと考える

任天堂、Yahoo!、zoom。これらの企業に共通していることは何でしょうか？彼らは皆、恥ずかしいほどのセキュリティ侵害を経験した大企業なのです。メディアがほとんど有名企業ばかりを取り上げるため、多くの中小企業は、サイバー攻撃は自分たちには起こらない、起こらないという危険な誤解をしています。市場の影響により、社内にフルタイムのセキュリティ専門家を置くことができないため、サイバー犯罪者の格好の餌食になっているのが実情です。実際、サイバー攻撃の約半数が中小企業を標的にしています。

さらに気になるのは、2020年の調査で、アメリカとイギリスの中小企業の43％が、何らかのサイバーセキュリティの防御計画を立てていないことが明らかになったことです。

また、そのようなアプローチは法律では通用しません。例えば米国では、連邦政府の要件に該当しない小規模な企業であっても、ITセキュリティの最低基準を満たす必要があります。また、サイバー攻撃によって消費者データが失われた場合、過失が認められれば起訴されることもあります。また、カリフォルニア州やニューヨーク州などの一部の州では、企業に対する情報セキュリティ要件を導入しています。

BullGuard社のCEOであるPaul Lipman氏は、「中小企業は、サイバー攻撃やデータ漏洩と無縁ではなく、特にセキュリティを優先していないために標的にされることがよくあります。不十分な消費者向けソリューションと複雑すぎる企業向けソフトウェアとの間で板挟みになり、多くの中小企業の経営者はサイバーセキュリティをスキップしがちになるかもしれません。しかし、たった一度の攻撃で、ビジネスは壊滅的な打撃を受けてしまうのです。

解決方法：中小企業へのサイバー攻撃は壊滅的な被害をもたらします。攻撃者に狙われる可能性があることを認識することが、防御策を講じるための最初のステップです。

限られたリソースや人材確保の問題に対処するために、Siteimprove Web Securityのような専門的なWebセキュリティ・ソリューションは、中小企業のニーズを考慮して開発されました。Siteimprove Web Securityのような専門的なWebセキュリティ・ソリューションは、中小企業のニーズを考慮して開発されています。

Siteimprove Web Securityでサイバーヘルスを向上させましょう。

これらのミスに共通しているのは、Webサイトのセキュリティに積極的に取り組み、自動化や連携を図ることで、これらのミスを軽減できるということです。サイバー攻撃からビジネスを守る最善の方法は、Webサイトのセキュリティをデジタル戦略のあらゆる部分に組み込むことです。

Webセキュリティのベストプラクティスを実践し、従業員のサイバー意識を高めるトレーニングを行い、信頼できるベンダーの防御技術に投資することで、増大するサイバー犯罪の脅威から企業を守ることができます。

私たちは、お客様のビジネス、ウェブサイト、そして顧客をサイバー犯罪者から守るお手伝いをしたいと考えています。そのために、Siteimprove Web Securityを立ち上げました。Web Securityは、IT部門とそれ以外の組織の間のギャップを埋め、全員が同じ見解を持てるようにします。Web Security は、Web サイトのセキュリティ上の脆弱性（Web アプリケーション、ネットワーク、およびサーバー）の明確な概要と、それらを修正するための優先順位付けされた実行可能な推奨事項を提供することで、その達成を支援します。