信用凍結を検討する。ただしこれを実行する場合、主要3社の信用情報機関すべてに対して行うこと。また州によっては、信用の凍結にコストがかかる可能性があることに注意する必要がある。
パスワードやセキュリティの質問に個人情報(住所、学校、車のメーカーや車種など)を使っている場合、直ちに変更する。自分になりすまして情報を盗もうとする人物は、自分について詳しく知っていると考えるべきだ。
われわれは、自分の情報をコントロールする権利を要求する必要がある。21世紀には、情報に関する基本的人権が必要だ。欧州連合(EU)の一般データ保護規則(GDPR)は手始めとしてはよいが、十分ではない。われわれは情報の収集と利用の透明性を必要としている。より重要なのは、情報を収集しようとする企業に対し、もし情報の収集範囲や用途が気に入らなければ、「ノー」と言える権利が必要だということだ。また、特定の企業がわれわれの情報を再び使用することを禁止する権利があるべきであり、信頼を失った企業は、そのしっぺ返しを受けるべきだ。そして、企業がわれわれの情報を守る責任も定められる必要があるだろう。
所属企業を守るには
詳しいことが分かるまでは、誰でも簡単になりすましされる可能性があると想定すべきだ。最初の発表によれば、米国国民の44%が今回の情報流出の影響を受けたという。しかし米国勢調査局によれば、米国民の22.8%は18歳未満だ。つまり、米国の全成人の56%が今回の情報流出の影響を受けたことになる。
送金手続きを一時凍結する。その上で、支払いを再開する前に、役割の分離と多要素認証を導入すべきだ。
フィッシングメールには厳重な注意を払う。フィッシングメールは、エンドユーザーにトレーニングを施すことで発見しやすくなる。従業員に対して、ソーシャルメディアのリスクが大きいことも説明した方がよいだろう。
攻撃の検知と対応を行うマネージドサービスを導入する。能動的な脅威ハンティングを行うプロバイダーと協力して、できるだけ早く脅威を検知できる体制を整えること。
セキュリティアナリティクスに投資する。アナリティクスを利用すれば、シグネチャを確認するよりも早く異常行動を検知できる。
ウェブアプリケーションのセキュリティも重要だ。Forresterの調査では、情報流出の34%が、ウェブアプリケーションに対する攻撃が原因で発生している。自社のシステム開発ライフサイクルに、ウェブアプリケーションのテストを組み込むこと。
インシデント対応計画を見直し、情報公開計画を追加する。情報流出よりも悪いものがあるとすれば、それは情報流出が起こった場合の対応の稚拙さだ。シミュレーションで情報開示の訓練を行っておくべきだろう。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
