情報システム・セキュリティ。良い防御は良い攻撃である

オンラインであれオフラインであれ、セキュリティは極めて重要である。

Identity Theft Resource Centerによると、2024年に発出されたデータ侵害通知の数は1,350,835,988件であった、 2024年に発行された情報漏えいの通知件数は、13億5,083万5,988件 だった（これは正式に報告されたものだけである！）。

私たちは日々、自分の情報を他者に預け、その安全性を期待しています。しかし、彼らは実際にどのような手順を踏んでいるのでしょうか。そして、その通りに実行されているのでしょうか？企業側のたった一つのミスが、何千人もの個人を攻撃の餌食にしてしまうのです。

疫病のようなものです。

そのため、企業は物理的なセキュリティ、インフラストラクチャのセキュリティ、そして運用のセキュリティに注力することが不可欠です。よく言われるように、良い防御は良い攻撃となるのです。企業が戦略的にセキュリティにアプローチする方法はさまざまです。しかし、本当に効果的であるためには、1つ以上の対策を講じ、それらを組み合わせて使用する必要があります。

サイバーセキュリティはWHR Globalの最優先事項であり、顧客とその出向者の機密データを保護するために常に積極的な対策を講じてきました。

情報の取り扱い

- 組織が電子情報をどのように管理するかは、強力なセキュリティ・プランの基礎となります。データの暗号化は、データを暗号化することで、ハッカーやデータ窃盗犯からの攻撃を大幅に軽減します。ウェブサイトにトランスポート・レイヤー・セキュリティ（TLS）証明書を利用することで、インターネット上で通信されるすべてのデータが暗号化されます。

セキュアインフラストラクチャー

- 刻々と変化するセキュリティ環境に対応するためには、インフラを保護するための対策を講じることが重要です。ファイアウォール、ゲストネットワーク、エンドポイントプロテクションは、さらに重要なコンポーネントです。さらに、情報資産の暗号化バックアップやオフサイトストレージを組み合わせれば、さらに効果的です。

セキュリティベストプラクティス

- 組織レベルのセキュリティも重要だが、セキュリティ文化もまた重要である。パスワード作成に関するベストプラクティスをチームに伝えるべきである。数多くのオンラインツールがあるため、従業員が自分でパスワードを作成している可能性が高い。簡単に見つかる情報（誕生日、記念日、ペットの名前など）は使わないように指導しましょう。また、年1回セキュリティ・トレーニングを開催し、従業員にプロトコルを再認識させましょう。

監査

- 組織内でデータが継続的に保護されていることを確認するもう一つの方法は、内部監査や第三者監査を頻繁に実施することです。WHRでは、
  SOC1® (SSAE18 Type II)監査を毎年受けています。第三者機関が当社のシステム設計、運用の有効性、内部統制を幅広く評価します。WHRは、データの完全性に対するお客様のコミットメントを維持するために、この監査への参加を選択しています。

保安規定への対応

- 企業が選択できること以上に、企業が行わなければならないことがたくさんあります。業界や仕事の内容によって、セキュリティに関する規制は多岐にわたります。最近の流行語は、EUが定めたデータ保護規則である「GDPR」です。その他にも、連邦情報セキュリティ管理法（FISMA）、医療保険の相互運用性と説明責任に関する法律（HIPAA）、家族教育権利およびプライバシー法（FERPA）、支払カード業界データセキュリティ基準（PCI-DSS）、グラムリーチ・ブライリー法（GLBA）など、多くの産業にわたる規制があります。