米国 連邦取引委員会 (FTC) ランサムウェアのリスク：中小企業のための2つの予防ステップ

こんにちは、丸山満彦です。

米国の連邦取引委員会 (FTC) が中小企業のためのランサムウェアの予防についての参考になる記事を公表していますね。

● Federal Trade Commission: FTC

・2021.11.05 Ransomware risk: 2 preventive steps for your small business

 

Ransomware risk: 2 preventive steps for your small business	ランサムウェアのリスク：中小企業のための2つの予防策
If recent headlines about ransomware attacks on companies have you worried, your concerns are well-founded. Earlier this year, the Department of Homeland Security’s Cybersecurity & Infrastructure Security Agency – you may know them as CISA – issued a Fact Sheet on Rising Ransomware Threat to Operational Technology Assets. The computer criminals who traffic in ransomware try to exploit vulnerabilities in technology and soft spots in human nature. The FTC suggests two steps your small business can take to bolster your digital defenses on both fronts.	最近のランサムウェアによる企業への攻撃に関するニュースを見て心配になった方、その心配は杞憂に終わります。今年初め、米国国土安全保障省のサイバーセキュリティ・重要インフラセキュリティ庁（通称CISA）は、Fact Sheet on Rising Ransomware Threat to Operational Technology Assetsを発表しました。ランサムウェアを扱うコンピュータ犯罪者は、テクノロジーの脆弱性や人間の性質の弱い部分を利用しようとします。FTCは、この2つの面からデジタル・ディフェンスを強化するために、中小企業ができる2つのステップを提案しています。
Step #1. Make sure your tech team is following best practices to fend off a ransomware attack. One key protective step is to set up offline, off-site, encrypted backups of information essential to your business. Furthermore, share the CISA Fact Sheet with your IT staff. Underline, italicize, CAPITALIZE just how important it is for them to stay current on the latest word from the leading federal agency on defending against these threats and on updates from other trustworthy public-private partnerships. CISA’s ransomware resources – including its Ransomware Guide – should be required reading. This isn’t something to save for a slow day at the office. Your IT team should immerse themselves in the latest advice from CISA and other authoritative experts.	ステップ1. 技術チームがランサムウェアの攻撃を防ぐためのベスト・プラクティスに従っていることを確認する。 重要な防御策の1つは、ビジネスに不可欠な情報のオフライン、オフサイト、暗号化されたバックアップを設定することです。さらに、CISAファクトシートをITスタッフと共有してください。このような脅威からの防御に関する連邦政府機関の最新情報や、信頼できる官民パートナーシップの最新情報を入手することがいかに重要であるかを、強調して伝えてください。CISAのランサムウェアに関する資料（「ランサムウェア・ガイド」を含む）は必読です。これは、オフィスでゆっくり過ごすためのものではありません。ITチームは、CISAや他の権威ある専門家からの最新のアドバイスに没頭する必要があります。
Step #2. Schedule a security refresher for your employees.  Ransomware isn’t just an issue for IT professionals. Perps often use email to your staff as their entryway into your system. By clicking on a link or downloading an attachment, a distracted staffer could inadvertently hand a computer criminal the keys to your corporate kingdom. But as companies up their defensive game, the bad guys have responded. Some use publicly available information or stolen data about an employee to craft a more personal message. Rather than a misspelled mess that screams scam from the start, the email – or phone call, text, etc. – may appear at first glance to be legitimate business correspondence or even a message from a colleague. A small business’s best defense is a workforce trained in the tricks that cybercriminals are likely to use. Other important protections are: 1) rigorous authentication procedures; and 2) a company policy that requires passwords for employee credentials and administrative functions to be l-o-n-g and complex. In addition, educate your staff on the folly of using the same password on different platforms, and consider the many benefits of multifactor authentication.	ステップ 2. 従業員のためにセキュリティの再教育を行う。 ランサムウェアは、IT担当者だけの問題ではありません。ランサムウェアは、IT担当者だけの問題ではなく、従業員への電子メールを利用してシステムに侵入することもあります。リンクをクリックしたり、添付ファイルをダウンロードしたりすることで、注意散漫になった従業員は、誤って犯罪者に企業の王国の鍵を渡してしまうことになります。しかし、企業が防御策を強化すると、悪者もそれに対応してきます。ある犯罪組織は、従業員の公開情報や盗んだデータを利用して、より個人的なメッセージを作成しています。誤字脱字の多い、最初から詐欺まがいのメッセージではなく、メールや電話、テキストなど、一見すると正当なものに見えるものです。- 一見すると、正当な業務連絡や同僚からのメッセージのように見えるかもしれません。中小企業の最大の防御策は、サイバー犯罪者が使いそうな手口を学んだ従業員です。他にも重要な防御策があります。1）厳格な認証手続き、2）従業員の認証情報や管理機能のためのパスワードは、L-o-n-Gで複雑なものでなければならないという会社の方針。さらに、同じパスワードを異なるプラットフォームで使用することの愚かさについて従業員を教育し、多要素認証の多くの利点を検討してください。
Looking for the FTC’s big picture perspective? Read Ransomware prevention: An update for businesses. The FTC also has to-the-point resources you can incorporate into your in-house security training program. Our Cybersecurity for Small Business suite – created in conjunction with NIST, the SBA, and the Department of Homeland Security – features self-contained topical modules, including one on ransomware. Mix it up with our videos, fact sheets, and quizzes.	FTCの大局的な視点を知りたい方は 「ランサムウェア対策：企業のための最新情報」を読んでください。また、FTCには、社内のセキュリティトレーニングプログラムに取り入れることができるポイントを押さえた資料があります。NIST、SBA、DHSと共同で作成したCybersecurity for Small Businessスイートには、ランサムウェアに関するものを含む、テーマ別のモジュールが用意されています。また、ビデオやファクトシート、クイズなども用意されていますので、活用してください。
The bottom line for business is that ransomware is a federal crime. If you think you’ve been targeted by a ransomware attack, contact your local FBI field office immediately. In the meantime, shore up your defenses through technology and training.	ビジネスにとって重要なのは、ランサムウェアが連邦犯罪であるということです。ランサムウェアの攻撃を受けたと思ったら、すぐに最寄りのFBI支局に連絡してください。それまでの間は、テクノロジーとトレーニングによって防御を強化してください。