「デジタル・シャドー」とも呼ばれるデジタル・フットプリントは、個人や企業がインターネットを使用する際に作成するデータの固有の痕跡です。
ほぼすべてのオンライン活動が痕跡を残します。ソーシャル・メディアの公開投稿など、明らかな痕跡もあります。また、Webサイトが訪問者を追跡するために使用するcookieのように、捉えにくいものもあります。個人や企業が残したすべてのフットプリントは、総合されて、デジタル・フットプリントを形成します。
インターネット・ユーザーにも組織にもデジタル・フットプリントはありますが、重要な違いがあります。個人のフットプリントは、直接的および間接的に共有される個人データで構成されます。これには、オンライン・アカウントの活動、閲覧履歴、データ・ブローカーがバックグラウンドで収集する詳細情報などがあります。
組織のフットプリントはより複雑です。これは、インターネットに接続されているすべてのパブリック資産とプライベート資産、コンテンツ、活動を含む、会社のオンライン・プレゼンス全体で構成されます。公式Webサイト、インターネットに接続されたデバイス、機密データベースはすべて、企業のフットプリントの一部です。企業アカウントからEメールを送信するといった従業員の行動でさえ、企業のフットプリントを増やすことになります。
この記事では、組織のフットプリントに焦点を当てます。クラウド・ブームやリモートワークなどのトレンドに後押しされ、組織のフットプリントは拡大し、分散化しています。この成長にはリスクが伴います。デジタル・フットプリント内にあるすべてのアプリ、デバイス、ユーザーが、サイバー犯罪者の標的になります。ハッカーは脆弱性を悪用したり、アカウントを乗っ取ったり、ユーザーをだまして企業ネットワークに侵入したりすることができます。これに対応するため、サイバーセキュリティー・チームは、企業のフットプリントの可視化と制御を強化するツールを採用しています。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
企業のデジタル・フットプリントを定義することは、関係する人や資産の数を考えると、難しい場合があります。新しい資産がオンライン化され、従業員が日常業務にインターネットを使用するようになると、ビジネスのフットプリントの輪郭は日々変化する可能性があります。
また、事業部門が異なれば、強化するフットプリントの側面も異なります。マーケティング担当者は、企業の公開オンライン・プレゼンスとブランド・コンテンツに焦点を当てます。また、セキュリティー・チームは、ハッカーが攻撃する可能性のあるインターネットに接続された資産、つまり組織の攻撃対象領域に焦点を当てます。
企業のデジタル・フットプリントに何が含まれるかをより正しく理解するには、アクティブなデジタル・フットプリントとパッシブなデジタル・フットプリントに分けて考えることが役立ちます。
企業のアクティブなデジタル・フットプリントは、企業が直接かつ意図的に管理するすべてのオンライン活動、資産、データで構成されます。アクティブなフットプリントには、次のようなものが含まれます。
Webサイト、ソーシャル・メディア・アカウント、ブログ、広告、その他のメディアなど、会社の公開ブランド・コンテンツ。
組織が作成し、管理するアプリおよびオンライン・サービス(これらのアプリおよびサービス上の顧客ポータルおよび顧客アカウントを含む)
Eメール・アカウント、クラウド・アプリ、会社所有のエンドポイント、企業ネットワーク上で使用される従業員所有のデバイス(組織のBYOD(個人所有デバイスの業務使用)ポリシーの適用対象か否かを問わない)など、従業員が会社の業務を遂行するために使用する、インターネットに接続するハードウェアまたはソフトウェア。
知的財産、財務データ、顧客記録など、会社が所有するデータ。
企業のパッシブ・フットプリントは、企業に接続されているが、直接の制御下にはないオンライン活動、資産、およびデータで構成されます。パッシブ・フットプリントには次のようなものがあります。
企業ネットワークに接続されているベンダーの活動や資産(社内アプリで使用されているサードパーティー製ソフトウェア・パッケージや、サービス・プロバイダーが社内システムで使用しているエンドポイントなど)。
シャドーIT資産(IT部門の承認や監視なしに企業ネットワーク上で使用される、または企業ネットワークに接続されているすべてのアプリとデバイス)。
会社で使用されなくなったにもかかわらず、オンラインに残っている孤立したIT資産。たとえば、ソーシャル・メディア・プラットフォームの古いアカウントや、会社のノートPCにインストールされたままの古いソフトウェアなどがあります。
ニュース記事やカスタマー・レビューなど、社外の人々によって作成された、会社に関するオンライン・コンテンツ。
企業を標的とし、ブランドに損害を与えるために、脅威アクターによって作成された、または盗まれた悪意のある資産。例えば、組織のブランドになりすまして顧客を欺くフィッシングWebサイトや、ダークウェブ上に流出した盗難データなどが挙げられます。
企業の従業員と顧客には、それぞれ独自のデジタル・フットプリントがあります。彼らが残したデータの痕跡は、企業のフットプリントの一部を形成する可能性があります。
顧客が組織と対話すれば、企業にデジタル・フットプリントが生じます。それには、ソーシャル・メディアでのその会社に関する投稿、レビューの記入、企業とのデータ共有などが含まれます。
顧客は、オンライン・フォームに入力して定期購読に申し込んだり、オンライン・ショッピング・ポータルにクレジット・カード番号を入力するなどして、企業に直接データを提供することがあります。アプリがユーザーのIPアドレスや地理位置情報データを記録するなど、顧客の間接的なデータ収集を通じてフットプリントができることもあります。
従業員は、会社のオンライン資産を使用したり、インターネット上で会社を代表して行動したりするたびに、企業にデジタル・フットプリントを生じさせます。たとえば、業務データを扱う、会社のノートPCでネットサーフィンをする、LinkedInで会社の代表として行動するなどの場合です。
従業員の個人的なフットプリントでさえ、ビジネスに影響を与える可能性があります。従業員が個人のソーシャル・メディア・アカウントで物議を醸すような態度を取ったり、共有すべきではない情報を共有したりすることで、企業のブランドを傷つける可能性があります。
企業のデジタル・フットプリントの規模と内容は、サイバーセキュリティー体制、オンラインでの評判、コンプライアンス状況に影響を与える可能性があります。
企業のデジタル・フットプリント自体が標的になる可能性もあります。蓄積された個人データがハッカーの目に留まります。ハッカーはこのデータを人質にとり、ダークウェブで売ると脅してランサムウェア攻撃を仕掛け、大金を稼ぐことができるのです。
企業がオンライン・プラットフォームを使用して政治的なトピックに対する態度を明確にすると、ハクティビストや国家ハッカーの怒りを買うこともあります。
企業のフットプリントが大きくなるほど、サイバー攻撃の危険にさらされやすくなります。企業ネットワーク上のインターネットに接続されたすべてのデバイスやアプリは、攻撃ベクトルとなり得ます。ベンダーの資産と活動も、組織をサプライチェーン攻撃の標的にする要因になります。
ハッカーは、従業員の個人のフットプリントを使用してネットワークに侵入する可能性があります。ハッカーは、ソーシャル・メディア・サイトで人々が共有する個人情報を利用して、高度な標的型詐欺であるスピア・フィッシングやビジネス・メール詐欺を仕掛けてきます。従業員の電話番号のような、一見無害に見える詳細情報であっても、ハッカーにとって足がかりとなる可能性があります。また、従業員がパスワードの衛生管理を怠っていると(同じパスワードを複数の目的で使用する、パスワードを定期的に変更しないなど)、ハッカーがパスワードを盗み取り、ネットワークに不正にアクセスすることが容易になります。
企業の公開コンテンツ、ニュース報道、カスタマー・レビューはすべて、オンライン上の評判に影響します。そのコンテンツの多くがブランドを肯定的に描いていれば、その企業のデジタル・フットプリントは肯定的になります。多くの潜在的な顧客やクライアントは購入前にオンラインで企業を調査するため、肯定的なフットプリントは新たなビジネスを促進する可能性があります。
その反対に、否定的なフットプリントは企業を遠ざける可能性があります。批判的なニュース報道、気分を害した顧客によるソーシャル・ネットワーキング・サイトへの投稿、粗悪な企業Webサイトは、ネガティブなフットプリントを残します。
また、データ侵害が企業の評判を傷つける可能性もあります。顧客は、機密データを共有する際に、企業がオンライン・プライバシーを保護してくれると信じています。そのデータが盗まれた場合、人々は他の企業に乗り換える可能性があります。
企業が顧客や従業員から収集する個人データは、デジタル・フットプリントの一部です。これらのデータの多くは、特定のデータ・プライバシーおよび業界固有の規制の対象となる場合があります。たとえば、EU域内の顧客と取引する組織は、一般データ保護規則を遵守する必要があります。また、患者の保護された医療情報を扱う医療提供者などは、医療保険の相互運用性と説明責任に関する法律(HIPPA)を遵守する必要があります。
規制違反は、法的措置、罰金、ビジネスの損失につながる可能性があります。コンプライアンス違反として報道されるような事例には、通常、大規模なデータ侵害やサイバー攻撃が含まれます。しかし、組織はデジタル・フットプリントのあらゆる部分で規制違反のリスクを負うことになります。たとえば、病院のスタッフが患者の写真や患者に関する噂話をソーシャル・メディアに投稿した場合は、HIPAA違反となる可能性があります。
企業はデジタル・フットプリントのすべての側面を制御することはできませんが、悪意のある攻撃者がそのフットプリントを自社に対して使用するのを阻止する手段を講じることはできます。
Googleアラートやその他の検索エンジンで会社名を通知するように設定することで、パブリック・フットプリントを追跡している組織もあります。これにより、オンラインでの評判に影響を与える可能性があるニュース報道、レビュー、その他のコンテンツを常に把握することができます。
攻撃対象領域管理ソフトウェアは、エンドポイント、アプリ、データベースなどのインターネットに接続する資産をマッピング、監視、保護することができます。セキュリティー情報およびイベント管理(SIEM)ソリューションは、フットプリント全体を通じて、潜在的に悪意のある異常な活動を捕捉できます。EDR(エンドポイントの検知と対応)ソリューションは、ハッカーが標的とする可能性のある資産を保護できます。データ損失防止ツールは、進行中のデータ侵害を阻止できます。
仮想プライベート・ネットワークは、従業員やユーザーのオンライン活動をハッカーから保護し、ネットワークへの侵入経路を減らすことができます。
セキュリティー意識向上トレーニングでは、従業員自身と雇用主のメリットのためにデジタルIDを保護する方法を従業員に教えることができます。従業員が過剰な共有を避け、強力なプライバシー設定を使用することを知っていれば、ハッカーが利用できる情報は少なくなります。また、フィッシング詐欺の発見や、ネットワークがマルウェアなどの脅威にさらされないようにするための会社資産の適切な使用に重点を置いたトレーニングを受けることもできます。