宅配業者を装ったフィッシング詐欺は、年々巧妙化してお
組織で最も重要なビジネスや従業員のデータの多くは、財務や経理の専門家の手によって処理されます。では、どのようにサイバー攻撃に対応すべきなのか?
サイバー脅威が財務部や経理部にとって大きなリスクとなる主な理由の 1 つであり、セキュリティに直接責任を負う小規模な会計事務所ではそれが顕著です。このブログでは、財務や経理(F&A)部に特有のサイバーリスクと、F&Aチームや組織全体を安全に保つために、サイバーセキュリティが果たす役割について見ていきます。
財務と経理の重要な役割
組織の所在地や業界によって、財務および経理部の運営方法は異なりますが、企業の財務および経理情報を管理する使命は変わりません。F&A (財務および経理部)は、さまざまな外部および内部のステークホルダーと協力して、財務情報が正しく記録され、法令に準拠し、最新であることを保証します。
洞察力のあるビジネスプランニングと意思決定を可能にするためにも、彼らの仕事は重要です。 F&Aは財務情報を活用し、経営陣、取締役会、投資家、規制当局と協力して、資金調達、コンプライアンス、合併、買収などの企業活動を支援します。F&Aは、マーケティングや人事(HR)などの社内チームと協力し、予算を設定して、適切なリソース配分を確実にするために投資収益率を監視することもよくあります。
財務および経理部が扱うデータ
これらのすべての活動を実施するために、F&Aはセンシティブな財務情報に依拠しています。 そのデータには、以下のいずれかが含まれる場合があります。
● 銀行口座番号
● 従業員の誕生日(DOB)、社会保障番号(SSN)、納税者情報、給与関連の情報
● 役員名
● 企業の財務および税務記録
● 知的財産権
● 事業計画
● 事業証明書
● コンプライアンス監査
● 顧客データ
F&Aチームの脆弱なログイン認証情報
上記の機密な財務データは、組織の過去、現在、将来の状況を反映しており、この情報は定期的に会計ソフトウェアに保存されるため、そのソフトウェアはサイバー犯罪者の主なターゲットになります。 このセンシティブな情報は顧客、従業員、第三者を含むさまざまなソースから取得されるため、安全で認証されたアクセスが企業セキュリティの重要な要素になります。
しかし、ログイン認証情報を安全に保存して使用する方法がなければ、財務および経理部はソフトウェアとデータを保護しないで、そのままにしておくことになります。 ブラウザに組み込まれたパスワードマネージャー、スプレッドシート、紙といった安全でない場所にパスワードを保存すると、機密性の高い財務データや経理データが、クレデンシャルスタッフィング攻撃やアカウントを乗っ取るサイバー攻撃を受けやすくなってしまいます。また、チームメンバーが認証情報を共有しなければならない場合、メール、テキストメッセージ、インスタントメッセージなどの暗号化されていないメソッドは、情報漏洩に対してログイン認証情報を脆弱にします。
近年では、広く普及した会計システムの情報漏洩により、組織および顧客データがダークウェブに公開されました。会計事務所と提携している組織でさえも、情報が盗まれるリスクがあります。
因する情報漏洩の80%以上が脆弱なログイン認証情報や盗難に起因するため、ITチームは、組織のF&A部門などをサポートするために、企業向けパスワード管理ソリューションを採用する必要があります。
内部関係者(または請負業者)の脅威
F&Aチームは、権限のある人物のみが機密データにアクセスし、財務情報が有効であることを保証する内部会計統制に慣れています。 内部会計統制と同様に、F&Aチームは必要な人員のみにアクセスを制限する方法が必要です。保護が導入されていない場合、不満を抱く従業員が、重要なシステムへのアクセスを獲得または活用して組織に損害を与える可能性があります。
ベンダーの従業員による不正アクセスも、財務データをリスクにさらします。重要な情報に無制限にアクセスできる請負業者やベンダーがいる場合、ログイン認証情報を保護する際に、別の複雑さが加わります。
サイバー攻撃の総コストを確認する
脅威アクターは、不正な銀行口座の開設、クレジットラインの開設、ダークウェブでの盗難データの販売などにより、情報漏洩の後に大きな損失をもたらす可能性があります。
IBMとPonemon Instituteの「データ情報漏えいのコスト 2022 年」レポートによると、組織は、情報漏えいの影響を受けて平均 435 万ドルを支払わねばならないことが予測されています。医療や金融サービスなど一部の業界では、データ侵害のコストが依然として高くなっています。
ランサムの支払いを含めずともインシデントあたり平均462万ドル(およそ6億8000万円)の費用がかかる ランサムウェア攻撃は、情報漏洩よりもコストがかかります。
2023年には、データ侵害の平均コストが 500万ドルを超える可能性があります。 その数字には、規制違反の結果として生じる、ますます増加する罰則費用や訴訟費用が含まれます。GDPR、CCPA、および類似のデータ保護法は、情報漏洩や不注意による開示に対して、重い罰金を科します。
直接的なビジネスおよび規制上のコストに加え、ランサムウェアであれ情報漏えいであれ、評判の損傷や事業機会の損失が、サイバー攻撃のコストに追加されます。正確なコストを評価するのは難しいですが、結果はそれ自体が物語っています。 サイバー攻撃を受けてから 6 か月以内に、中小企業の60%が店舗を閉店しています。
役割ベースのアクセス制御を満たす職務の分離
会計士の受託者義務と、重要な情報やシステムを保護するサイバーセキュリティ専門家の責任との間には類似点があります。 マインドセットが共通するため、多くの組織のガバナンス、リスク、およびコンプライアンス(GRC)部門の実際の業務に共通する点が見られます。
例えば、職務分離(SOD)は、利益相反や1つのアクターが会計プロセスに過度の影響を及ぼすのを防ぐために、財務と会計における重要な責任を分散させています。
Keeperパスワードマネージャーの役割ベースのアクセス制御(RBAC)では、ユーザーのアクセスがSODと互換性があることを保証するため、組織、ならびに財務または経理チームを提供します。
F&AやGRCチームが特定のユーザーを情報の表示対象から除外する必要がある場合に、Keeper はアクセス許可を制限する管理機能を提供します。多要素認証(MFA)や IPリスティングなど、Keeperに設定されたRBACポリシーの実施により、検証済みの権限が与えられたユーザーのみが重要な会計情報にアクセスできるようになります。
IT管理者や個々のチームで委任された共有管理者は、チームや個々の貢献者の責任に基づいて、ログイン強制を調整することもできます。 RBAC は、機密ファイルやデータへのユーザーアクセスにも適用され、情報へのアクセスを必要とする人のみがアクセスを許可されるようにします。
Keeperが財務および経理部を支援
RBAC は、財務および経理部が価値を見出すKeeper Password Managerの機能の1 つにすぎません。
パスワードのヘルプデスクチケットのコストはしばしば IT予算の痛手になりますが、管理者は Keeperによって、ITチームと組織のその他の部門の生産性を効率的に向上させることができます。
ユーザーはただ、1つのパスワード(マスターパスワード)を覚えておく必要があるだけです。ユーザーが MFAなどの強制ポリシーで認証されると、後は全てKeeperが処理します。
– ブラウザ拡張機能である KeeperFill® は、あらゆるデバイスでログイン認証情報を自動入力します。これにより、セキュリティを損なうことなくユーザーの生産性が向上します。
– ボルト間共有により、財務および経理部は、給与計算システム、請求書作成ツール、エンタープライズリソースプランニング(ERP)ソフトウェアなどの重要なソフトウェアのログイン認証情報を安全に送受信できます。
– ワンタイム共有は、受信者がKeeperを保有していなくても財務および会計チームが暗号化された記録を共有できるようにする、特に人気のツールです。
– 安全なファイルストレージは、ユーザーのみがストレージファイルにアクセスし、復号化できるようにするゼロ知識暗号化方法を使用しています。財務および会計チームは、この機能を使用して、財務記録、税務書類、重要な事業計画、銀行口座明細、およびその他のセンシティブなドキュメントを保護・保存します。
– コンプライアンスレポートは、HIPAA、Sarbanes-Oxley(SOX)、PCI DSS、およびアクセス制御監視とイベント監査を必要とするその他の規制のコンプライアンス報告を合理化します。 高度報告およびアラートモジュール(ARAM)と組み合わせることで、InfoSec管理者やGRC担当者は、不審なユーザーアクティビティを追跡できます。
まとめ: Keeperでサイバー攻撃に対応しましょう
企業向けにシンプルで安全なパスワード管理を求める財務および経理のプロであれ、F&A部門をカバーするためにパスワードマネージャーを評価するIT管理者であれ、Keeperは組織の重要なパスワード、秘密、情報を保護するソリューションを備えています。
Keeperの企業向けパスワードマネージャーは、ゼロトラスト、ゼロ知識で、当使用者以外の誰もKeeper ボルト(安全な保管庫)内の平文データを見ることができません。ビジネス用のパスワードマネージャーを持つことの利点は、従業員のパスワードの実践を完全に可視化すること、安全なパスワードの共有など、いくつかありますが、その他にも多様な機能があります。この機会に14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。