顧客の安全を向上させる可能性のある技術
公開: 2022-04-262021年は、米国でのデータ漏えいの記録的な年であり、合計1,862で、2020年の漏えい数より68%多くなっています。しかし、サイバー犯罪は急成長しているだけでなく、継続的に進化しています。
サイバー犯罪者や悪意のある攻撃者は、情報を取得するためにハッキング戦略を絶えず変更しているため、強力な脅威からデータを保護することがこれまで以上に重要になっています。
お客様の安全を守るための最良の技術と戦略を概説しました。
顧客データのプライバシーの公式な定義は何ですか?
顧客データのプライバシーとその保護には、次のようなポリシーとプロセスの作成が伴います。
1.データが合法かつ倫理的に収集されていることを確認します。
2.データが収集され、サードパーティと共有される方法を定義します。
3.データと情報の取り扱いに関する規制と制限を作成します。
顧客データのプライバシーを保護することが重要な理由
あなたの顧客はあなたが彼らの情報を悪意のある人物から遠ざけることをあなたに信頼しており、そうすることはあなたの法的および道徳的権利です。 データ侵害にさらされた場合、顧客のデータを使用して、アカウントへのアクセス、お金、身元などを盗むことができます。 これは、彼らとあなたの両方に悲惨な経済的影響を与える可能性があります。平均して、データ侵害の解決には424万ドルの費用がかかります。 言うまでもなく、あなたの評判とブランドイメージは、その後数週間、数ヶ月、さらには数年も苦しむ可能性があります。
パスワード管理ツールを使用する
パスワード管理ツールは、暗号化を使用して各パスワードを保存し、機密データの保存を容易にします。 これにより、顧客の機密データを含むツールにログインする必要がある場合に、パスワードマネージャーからログイン情報を簡単に取得できます。 これにより、手動で入力したり、ブラウザ、メモ、または物理的な紙に保存したりするリスクと労力を回避できます。これらはすべて、パスワードを保存するためのより安全でない方法です)。
優れたパスワード管理ツールは、保存するパスワードに複雑な暗号化を使用します。 これにより、暗号化キーを持たない人はパスワードを読み取れなくなり、顧客のデータがサイバー犯罪の増加からより安全になります。
Wi-Fiネットワークとパスワードを保護します
オフィスやその他の物理的なスペースの外で操作する場合は、従業員とゲストに別々のオプションを備えた独自のプライベートWiFiネットワークを用意することが安全上重要です。 プライベートWiFiネットワークは接続するためにパスワードが必要ですが、パブリックネットワークまたはオープンネットワークには誰でもアクセスできます。 設定時にWPA2(Wireless protected access 2)セキュリティプロトコルを選択します。これは暗号化を提供し、より長いパスワードを必要とするためです。
また、Wi-Fiネットワークのパスワードを頻繁に変更する必要があります。データを保護するパスワードは、記号、数字、大文字など、長く複雑で、90日程度ごとに更新されるようにしてください。 さらに安全を確保するために、重要なポイントで多要素認証を実装することを検討することもできます。
二要素認証を実装する
2FAとも呼ばれる二要素認証は、顧客のデータを1つ以上の方法でより安全にすることができます。 パスワードマネージャーの実装と同様に、従業員が顧客データを含むプログラムにログインしているときに、OktaやOneLoginなどの認証アプリの使用を義務付けることもできます。 そうすれば、顧客の安全を損なうことなく、リモートアクセスを許可することについてより安心できます。
ソフトウェア製品を提供する場合、2FAがまだ存在しない場合は、製品ロードマップに組み込むことを強く検討する必要があります。
2FAによる追加のセキュリティ層は、詐欺や不正アクセスなどを減らすのに役立ちます。 企業は従業員にリモートアクセスを許可することに自信を持てるようになり、顧客はデータが安全であると自信を持って感じることができます。
柔軟なID認証
2FAの実装に加えて、柔軟なID認証(FIA)は、二重認証を必要とするため、企業と顧客の機密データを保護します。 組織は、クラス最高の認証と適応型アクセス制御により、セキュリティを強化し、顧客体験を向上させることができます。
FIAは、PINコードとオーセンティケーター(物理トークン、追加のソフトウェア、SMSメッセージ、またはグリッド)を使用してワンタイムパスワード(OTP)を生成するように従業員に要求することで機能します。 このシステムでは、悪意のある攻撃者がシステムにログインするのがはるかに困難になります。
メールを暗号化する
電子メールの暗号化は、電子メール(および電子メールに含まれる重要なビジネス情報)が意図された受信者によって読み取り専用になるようにするのに役立ちます。 最新の電子メール暗号化ソリューションは使いやすく、一般的に使用される電子メールプラットフォームにシームレスに統合されます。
不審なメールを継続的にスキャンし、受信トレイに届かないようにするサービスの使用を検討してください。 これにより、あなたやあなたのチームメンバーが不注意に有害な可能性のあるものを開いたりクリックしたりするのを防ぐことができます。
別の予防策として、電子メール内の画像と添付ファイルを手動でロードするようにデバイスを設定できます。 これにより、機密データを危険にさらす可能性のある有害な添付ファイルがデバイスに読み込まれるのを防ぐことができます。
最低限のセキュリティ基準を設定する
セキュリティに関しては、すべてのツールが同じように作成されているわけではありません。 使用するツールがSOC2またはISO27001のいずれかに準拠していることを確認してください。これらの規格はどちらも、準拠している企業がデータセキュリティプロトコルを継続的に監視およびアップグレードすることを求めています。
一部の企業は、自社のWebサイトにコンプライアンス情報を誇らしげに表示することを選択していますが、コンプライアンスを確認するには、ツールのアカウントマネージャーまたは別の連絡先に連絡する必要がある場合があります。
データへのアクセス方法に関する確固たるルールを作成する
データへのアクセス方法に関する確固たるルールやプロトコルを確立しないことで、顧客の安全を妨げないでください。 たとえば、特定のデータへのアクセスを制限すると、組織の脆弱性のポイントを最小限に抑えることができます。 データへのアクセスポイントが少ないほど、データの安全性は高くなります。
また、これらの機密データが何にどこに存在するかを可視化する必要があります。 これにより、特定のプログラムやファイルを処理する際に、場所を認識し、注意を払うことができます。
顧客データへのアクセスを制限するもう1つの優れた方法は、プログラムリクエストフォームを実装することです。 すべての従業員に完全なアクセス権を与える代わりに、要求フォームを作成して、仕事を遂行するために制限された必要なアクセス権を従業員に与えることができます。 より多くのアクセスまたは異なるデータソースが必要な状況では、ITチームに別のフォームを提示してアクセスを許可するだけです。
ファイアウォールを使用して、個人を特定できる情報を保護します
個人情報(PII)は、組織内で最も重要なデータとして扱う必要があります。 これには以下が含まれますが、これらに限定されません。
- 銀行口座情報
- クレジットカード番号
- 社会保障番号
- パスポートまたは運転免許証番号
- 生体認証記録
- 番地
- 個人の電話番号
- 個人のメールアドレス
- IPアドレス
- 指紋
- 手書き
顧客が個人情報の盗難やその他の有害な行為の犠牲になるのを防ぐために、これらのタイプのデータセットを保存するシステムは常にファイアウォールの背後にある必要があります。 これにより、トラフィックがフィルタリングされ、許可されていないユーザーが貴重なデータにアクセスするのを防ぎます。 データは、保存時および転送時にも暗号化する必要があります。
PIIデータは、GDPRやCCPAを含む国際および国内のプライバシー法にも準拠する必要があります。 フィールドは匿名化または仮名化して部分的にそれを実現し、顧客データをより安全にすることができます。
システムとソフトウェアを最新の状態に保つ
セキュリティパッチとアップデートは、有害なマルウェアやランサムウェアからシステムを保護します。 データ侵害のリスクに対抗するには、オペレーティングシステム、ウイルス対策ソフトウェア、およびその他のプログラムが最新であることを確認するのが最善です。 2020年6月に実施されたITリスク調査では、古いソフトウェアを使用していた企業の65%が侵害に苦しんでいることがわかりました。
新しいバージョンが利用可能になったときにすべてのシステムを更新する時刻を設定します。 このアクティビティを毎週スケジュールすると、習慣になり、定期的にデータを保護できるようになります。
必要に応じてVPNの使用を奨励する
柔軟でハイブリッドな作業の取り決めは、今まで以上に標準になっています。 カフェやコワーキングスペースなど、あらゆる種類のパブリックWi-Fiを使用しているときに従業員が会社のサーバーにアクセスする必要がある場合は、VPN(仮想プライベートネットワーク)を使用していることを確認してください。 接続しているネットワークに関係なく、誰もあなたのデータやアクティビティを見ることができないように、安全なブラウジング体験を作成します。
特定のVPNは、オンラインアクティビティをマスクするだけでなく、ユーザーに代わってダークウェブを監視し、情報がデータ漏洩にさらされた場合に通知します。
Secure Access Service Edge(SASE)モデルを採用する
2024年までに、企業の少なくとも40%がSASEの採用を検討していると推定されています。 SASEは、SD-WANとVPNの機能を組み合わせたセキュリティフレームワークです。
SASEを設定することで、企業は、従業員の数、場所、日常的に使用されているシステムの数に関係なく、クラウドフィッシング、マルウェア、ランサムウェア、悪意のある内部関係者などのクラウドおよびWeb攻撃を検出して防止できます。 これは、安全性と柔軟性の両方を優先するような方法でネットワークを構築しようとしている成長中のビジネスにとって理想的です。
SASEサービスは、ファイアウォールや安全なWebゲートウェイから、クラウドアクセスセキュリティブローカー、DNSセキュリティソリューションなどにまで及びます。
ソフトウェア定義のワイドエリアネットワーク(SD-WAN)に投資する
SD-WANは、企業組織がユーザーをアプリケーションに安全に接続するために使用するネットワークアーキテクチャの一種です。 従来のネットワーク接続は、クラウドベースのソフトウェアを処理するように設計されていなかったため、生産性が低下する可能性があります。 SD-WANは、インテリジェントなアプリケーション対応ルーティングと呼ばれるものを提供することにより、これを改善するように設計されています。 これは、各アプリケーションがアクセスされると、適切なセキュリティの実施を自動的に受けることを意味します。
SD-WANにセキュリティ機能を導入すると、リモートユーザーは、オンプレミスか外部かに関係なく、クラウドサービスに直接アクセスできるようになります。 組織は、必要なID中心の保護を維持しながら、より高速な接続とより優れたユーザーエクスペリエンスを得ることができます。
データの暗号化とトークン化を実装する
暗号化やその他の難読化技術を使用して、データベース内やビッグデータプラットフォーム内のデータを不明瞭にすることで、個人のプライバシーを保護し、必要な業界コンプライアンスを実現し、サイバー攻撃や偶発的なデータ漏洩の影響を最小限に抑えます。 データが暗号化されると、移動中の保護が強化され、復号化キーを使用してエンドポイントでのみロックを解除できます。
ただし、暗号化を使用するということは、プライバシーと使いやすさの境界線を注意深く歩くことを意味します。 現在、多くの組織が準同型暗号化に目を向けています。これにより、暗号化された状態のデータを計算できます。 これにより、データを安全に保ちながら、組織の生産性を向上させることができます。
暗号化に加えて、トークン化は顧客の機密情報を偽装するのに役立ちます。 トークン化は、クレジットカード番号、銀行口座番号、社会保障番号などの機密データを、トークンと呼ばれるランダムに生成された値に置き換えることで機能します。 これらはランダム化された値であるため、トークンを使用して誰かの個人データを自分で取得することはできません。 これにより、企業はセキュリティを損なうことなく、データを使用して通常どおりビジネスを行うことができます。
ローカルに保存するよりもクラウドソフトウェアを選択する
クラウドベースのソフトウェアに保存されている情報は、ローカルデバイスに保存されている場合よりも保護される可能性がはるかに高くなります。 これは、クラウドアプリケーションが、ハードドライブなどよりも強力なサイバーセキュリティ対策に依存してデータを保護しているためです。
たとえば、ビジネスでカスタマーケアコールセンターを使用している場合、オンプレミスのPBXは更新がはるかに困難でコストがかかり、インターネット関連の攻撃を受けやすく、顧客の安全とビジネスの流れを危険にさらします。 対照的に、クラウドPBXは最新の状態に保つのがはるかに簡単で、データをはるかに確実かつ安全に保存します。
重要なデータをバックアップする
コンピューターまたはサーバーがハッカーに攻撃された場合、データが危険にさらされる可能性が非常に高くなります。 これには、デバイスの整合性を維持するために、一部のシステムを再インストールする必要があります。 以前に重要なデータをバックアップしたことがない場合は、データが回復する可能性は低くなります。
クラウドソフトウェアは私たちの生産性に大きな恩恵をもたらしますが、少なくとも2つの物理ストレージデバイスにファイルをバックアップすることも賢明なアイデアです。 これらのデバイスは必ず安全な場所に保管してください。
業界内のコンプライアンス規制に準拠したソフトウェアを使用する
ほとんどの組織は、名前、住所、電話番号、パスワードなどの個人を特定できる情報を顧客から収集します。 クレジットカード番号、社会保障番号、ライセンス情報など、はるかに機密性の高い情報を収集する場合もあります。
このような機密データの収集は、さまざまな業界規制やコンプライアンス基準に影響を及ぼします。 注目すべき例としては、HIPAA、GDPR、WCAG、PCIなどがあります。
多くの業界規制には、機密データを適切に収集、保護、または共有する方法に関する厳格なガイドラインがあります。 組織が業界内のデータ保護を義務付ける規制に準拠していないことが判明した場合、多額の罰金やその他の影響に直面する可能性があります。
会社の慣行が業界標準に100%準拠しているかどうかわからない場合は、潜在的な欠点を確認するために監査を実行する必要があります。 手動で行うか、外部コンサルタントを雇うか、ソフトウェアを使用してコンプライアンス違反の問題を検出することができます。
潜在的な脅威を監視するための従業員監視ソフトウェアを入手する
残念ながら、ビジネスオペレーションのすべての側面を制御することはできませんが、セキュリティの脅威が悪化する前に、それを阻止するために注意を払うことができます。 従業員監視ソフトウェアは、エンタープライズシステムおよびリモートの職場環境に展開できます。 これにより、企業は従業員の習慣を追跡し、異常な事態が発生したときにアラートを受け取ることができます。
このタイプのソフトウェアは、雇用主に従業員の就業日を一目で確認することもできます。 リモートコンピューターの画面を表示して、従業員が実際に働いているかどうか、または悪意のある攻撃者が仕事用のコンピューターに侵入したかどうかを確認します。 または、従業員のメッセージを読んで、内部から何らかの攻撃を計画しているかどうかを確認します。
結論
顧客のデータを可能な限り安全に保管する必要があることは否定できません。 1つの悪いデータ侵害は、顧客の機密情報と会社の評判に取り返しのつかない損害を与える可能性があります。
この記事の手順に従うことで、差し迫ったサイバー犯罪やデジタル脅威に対して顧客データをより安全にするための準備が整います。