会計事務所は、機密性の高いクライアントのデータを日常的に処理しているため、サイバー犯罪の主要なターゲットとなっています。PwCによると、会計事務所は、他のビジネスよりもサイバー攻撃に遭うリスクが30%高いことがわかりました。この業界におけるデータ漏洩は、最もコストがかかるものの1つであり、IBMの「2022年のデータ漏洩のコスト」レポートでは、平均で597万ドルに上ると報告されています。
このブログでは、会計事務所に固有のサイバーセキュリティの課題と、業界の安全性確保において特権アクセス管理が果たす役割について見ていきます。
会計業界が直面するサイバーセキュリティの課題
機密性の高い会計データには、事業計画、税務記録、知的財産権、コンプライアンス監査などの機密情報が含まれています。また、従業員や顧客の生年月日(DOB)、給与や納税情報、社会保険番号や身分証明番号などの個人識別情報(PII)も含まれています。
クラウド会計ソフトウェアにより、分散型作業環境への移行が可能になり、クライアントデータとサードパーティによる協力を効率的に管理できます。しかし、広く普及している会計ソフトウェアのセキュリティ上の欠陥が、多くの企業におけるセキュリティ慣行の不備と相まって、サイバーセキュリティのリスクが増大しています。
欧州連合の一般データ保護規則(GDPR)やPayment Card Industry Data Security Standard(PCI DSS)など、ますます厳しくなっている規制管理では、コンプライアンスを維持し、機密情報の安全な交換を保証するために、特定の管理が必要です。これらのコンプライアンス要件により、企業は、職務の分離を必要とする経営管理に加えて、さまざまなレベルのアクセスを提供する必要があります。
会計事務所が可視性、セキュリティ、およびコントロールを取得する方法
サイバー犯罪、クラウドコンピューティング、コンプライアンスにおける業界動向が新たな複雑性をもたらす一方で、情報技術(IT)チームが顧客と企業の情報の保護に採用できる特権アクセス管理(PAM)戦略が数多くあります。
● 特権アカウントセッション管理
特権アカウントセッション管理(PASM)とは、組織内の機密データまたはシステムにアクセスするために使用される特権アカウントを管理および保護する慣行を指します。
これらの特権アカウントは、しばしば「スーパーユーザー」または「管理者」アカウントと呼ばれ、高度なアクセス特権を持ちます。これにより、ユーザーは、システム設定、データベース管理、アプリケーション管理などの重要な機能を実行できます。
効果的なPASMには、これらの特権アカウントを管理し、監視するための次のようなコントロールとプロセスの実装が含まれます。
1. 強力な認証メカニズム:特権アカウントへのアクセスは、多要素認証、生体認証、またはスマートカードなどの強力な認証メカニズムによって保護される必要があります。
2. 役割ベースのアクセス制御:特権アカウントへのアクセスは、最小権限の原則に従い、ユーザーの仕事上の役割に基づいて制限され、権原を付与されたユーザーのみにアクセスを提供する必要があります。
3. セッション監視:すべての特権セッションは、慎重に監視および記録されるべきであり、アクティビティログは定期的にレビューされ、疑わしいアクティビティを検出する必要があります。
4. セッション分離:特権セッションは、機密データやシステムへの不正アクセスを防止するために、他のセッションから分離する必要があります。
5. パスワード管理:特権アカウントのパスワードは頻繁にローテーションされるべきであり、複雑なものにして、不正アクセスを防ぐ必要があります。
6. 自動アクセスとセッション管理:自動ツールを使用して、特権アカウントを管理および監視できます。これにより、認証されたユーザーのみへのアクセスの付与を確実にできます。
全体的に、PASMは組織のセキュリティ戦略に不可欠な要素であり、データ漏洩、インサイダー脅威、およびビジネスに大きな影響を与える可能性のあるその他のセキュリティインシデントなどを防ぐのに役立ちます。
● パスワードボルト
パスワードボルトは、ログイン認証情報、ドキュメント、ファイル、およびその他のセンシティブ情報を格納する暗号化されたデジタルボルトです。暗号化は、認証情報を読み取り可能な形式から暗号文に変換します。これは、暗号化キー(データを元の形式に復号させるために使用されるランダムなビット列)を用いて解読されるまで、人間もコンピュータも理解することができないランダムな文字のブロックで構成されています。
ボルトは、ユーザーにログインするための単一のマスターパスワード、あるいは現在のIDプロバイダ(IdP)ソリューションに対して個人情報を認証するオプションを提供します。
エンタープライズパスワード管理システムにより、IT チームはすべての従業員の認証情報を保護できます。多くのエンタープライズパスワードマネージャーは、役割ベースのアクセス制御を提供しており、これによって、IT管理者は、従業員の役割に基づいて認証情報へのさまざまなレベルのアクセスを付与できます。
● レポーティング、コンプライアンス、監査
効果的なソリューションには、最小限の権限を実施する詳細なアクセス制御が含まれ、ユーザーが作業に必要なシステムとデータにのみアクセスできるようにする必要があります。これには、役割ベースのアクセス制御、時間ベースのアクセス制御、およびセッション分離が含まれます。
これらの制御に加えて、米国の上場企業会計改革および投資家保護法(Sarbanes-Oxley、SOX)や欧州における GDPR などの規制では、アクセス許可の監視とイベント監査が必要です。サイバーセキュリティ規制が増加するにつれて、会計事務所は、ログインの失敗、管理変更、記録共有、ボルト移行、およびITインフラストラクチャへのリモートアクセスなどのイベントを含む、コンプライアンスを確保するための包括的なポリシーとツールが必要です。
認証情報、機密情報、およびインフラストラクチャへのアクセスを監査および制御する能力は、コンプライアンスを維持し、データ漏洩を防止するために不可欠です。
Keeper Securityは会計事務所をどのように保護するか
会計事務所がデータ漏洩の被害に遭った場合、訴訟、罰金、評判の低下、顧客への損害、さらには破産などのリスクがあります。法人パスワードと特権アクセス管理の分野において信頼されたリーダーである Keeper Security を使用すると、会計事務所とその顧客は、暗号化されたパスワードとファイルに制御された安全な状態でアクセスできるようになります。
機密性の高い顧客情報を安全に保管および共有
Keeperのデジタルボルトは、完全なエンドツーエンドの暗号化により、従業員が機密性の高い顧客情報を効率的に受信、送信、保管するための安全なポータルとして機能します。これにより、Eメール、テキスト、またはインスタントメッセージを介して機密情報を共有するという危険な慣行を終わらせます。カスタムフィールドとメモにより、従業員は重要な情報を保存し、フォームの記入を容易に行うことができます。一方、構成可能な権限設定により、ケースバイケースで誰が記録を閲覧するアクセスを持つことができるかを管理できます。
また、Keeperは、会計事務所が強力なパスワードでデータ漏洩を防止できるように支援します。Keeperは、自動入力が可能な高強度でランダムなパスワードを生成します。これにより、従業員はアプリケーションやアカウントにアクセスするために必要な多くのパスワードを記憶する必要がなくなります。また、共有パスワードを「マスク」することで、セキュリティを強化できます。Keeper管理コンソールにより、IT部門は従業員のパスワードポリシーを施行して、企業のパスワード衛生を明確に把握できます。
リモートデスクトップとサーバーアクセス
Keeper Connection Manager(KCM)は、今日の分散化されたリモートの作業環境において必要とされるセキュリティ、使い易さ、およびスピードを提供する、最新のエージェントレスソリューションにより、リモートインフラストラクチャを保護する複雑性を解決します。
KCMは、認証情報の共有を必要とせずに、デスクトップやサーバーなどの特権システムへのアクセスを提供します。アクセスはいつでも取り消すことができ、セッション記録が監視を行い、管理者に不審なイベントやアクティビティを警告します。堅牢な監査証跡は、システムが使用された時期と方法を特定し、セキュリティとコンプライアンスを改善します。
不審なパスワード関連のアクティビティを検出および防止
Keeper Advanced Reporting and Alerts Module(ARAM)により、管理者は、パスワードに関連する不審なアクティビティのアラートを作成できます。これにより、パスワードに関連する攻撃を積極的に特定、検出、防止できます。
Keeper コンプライアンスレポートにより、Keeper 管理者は、ゼロトラストおよびゼロ知識のセキュリティ環境で、組織全体における特権アカウントのアクセス許可をモニタリングおよびレポートすることができます。
まとめ:Keeperで会計情報を守りましょう
あなたの会計事務所が特定のセキュリティ上の懸念に対処する際に Keeper Security がどのように役立つかについて、興味をお持ちですか?当社のサイバーセキュリティの専門家にご相談ください。