「デジタル・シャドー」とも呼ばれるデジタル・フットプリントは、個人や企業がインターネットを使用する際に作成するデータの固有の痕跡です。
ほぼすべてのオンライン活動が痕跡を残します。ソーシャル・メディアの公開投稿など、明らかな痕跡もあります。また、Webサイトが訪問者を追跡するために使用するcookieのように、捉えにくいものもあります。個人や企業が残したすべてのフットプリントは、総合されて、デジタル・フットプリントを形成します。
インターネット・ユーザーも組織もデジタル・フットプリントを持っていますが、両者には重要な違いがあります。個人のフットプリントは、直接的および間接的に共有される個人データで構成されます。これには、オンライン・アカウントの活動、閲覧履歴、データ・ブローカーがバックグラウンドで収集する詳細情報などがあります。
組織のフットプリントはより複雑です。これは、インターネットに接続されているすべてのパブリック資産とプライベート資産、コンテンツ、活動を含む、会社のオンライン・プレゼンス全体で構成されます。公式Webサイト、インターネットに接続されたデバイス、機密データベースはすべて、企業のフットプリントの一部です。企業アカウントから電子メールを送信するといった従業員の行動でさえ、企業のフットプリントを増やすことになります。
この記事では、組織のフットプリントに焦点を当てています。 クラウド・ブームやリモートワークなどのトレンドに後押しされ、組織のフットプリントは、拡大し、分散化しています。この成長にはリスクが伴います。デジタル・フットプリント内にあるすべてのアプリ、デバイス、ユーザーが、サイバー犯罪者の標的になります。ハッカーは、脆弱性を悪用したり、アカウントを乗っ取ったり、ユーザーを騙したりして、企業ネットワークに侵入する可能性があります。これに対応するため、 サイバーセキュリティー・チームは、企業のフットプリントの可視化と制御を強化するツールを採用しています。
Randori Reconがどのようにインターネットに接続する外部の資産やエクスポージャーを検出するかをご覧ください。
企業のデジタル・フットプリントを定義することは、関係する人や資産の数を考えると、難しい場合があります。新しい資産がオンライン化され、従業員が日常業務にインターネットを使用するようになると、ビジネスのフットプリントの輪郭は日々変化する可能性があります。
また、事業部門が異なれば、強化するフットプリントの側面も異なります。マーケティング担当者は、企業の公開オンライン・プレゼンスとブランド・コンテンツに焦点を当てます。また、セキュリティー・チームは、ハッカーが攻撃する可能性のあるインターネットに接続された資産、つまり組織の攻撃対象領域に焦点を当てます。
企業のデジタル・フットプリントに何が含まれるかをより正しく理解するには、アクティブなデジタル・フットプリントとパッシブなデジタル・フットプリントに分けて考えることが役立ちます。
企業のアクティブなデジタル・フットプリントは、企業が直接かつ意図的に管理するすべてのオンライン活動、資産、データで構成されます。アクティブなフットプリントには、次のようなものが含まれます。
Webサイト、ソーシャル・メディア・アカウント、ブログ、広告、その他のメディアなど、会社の公開ブランド・コンテンツ。
組織が作成し、管理するアプリおよびオンライン・サービス(これらのアプリおよびサービス上の顧客ポータルおよび顧客アカウントを含む)。
Eメール・アカウント、クラウド・アプリ、会社所有のエンドポイント、企業ネットワーク上で使用される従業員所有のデバイス(組織のBYODポリシーの適用対象か否かを問わない)など、従業員が会社の業務を遂行するために使用する、インターネットに接続するハードウェアまたはソフトウェア。
知的財産、財務データ、顧客記録など、会社が所有するデータ。
企業のパッシブ・フットプリントは、企業に接続されているが、直接の制御下にはないオンライン活動、資産、およびデータで構成されます。パッシブ・フットプリントには次のようなものがあります。
企業ネットワークに接続されているベンダーの活動や資産(社内アプリで使用されているサードパーティー製ソフトウェア・パッケージや、サービス・プロバイダーが社内システムで使用しているエンドポイントなど)。
シャドウ IT資産(IT部門の承認や監視なしに企業ネットワーク上で使用される、または企業ネットワークに接続されるすべてのアプリとデバイス)。
会社で使用されなくなったにもかかわらず、オンラインに残っている孤立したIT資産。例えば、ソーシャル・メディア・プラットフォームの古いアカウントや、会社のノートPCにインストールされたままの古いソフトウェアなどが挙げられます。
ニュース記事やカスタマー・レビューなど、社外の人々によって作成された、会社に関するオンライン・コンテンツ。
企業を標的とし、ブランドに損害を与えるために、脅威アクターによって作成された、または盗まれた悪意のある資産。例えば、組織のブランドになりすまして顧客を欺くフィッシングWebサイトや、ダークウェブ上に流出した盗難データなどが挙げられます。
企業の従業員と顧客は、それぞれ独自のデジタル・フットプリントを持っています。彼らが残したデータの痕跡は、企業のフットプリントの一部を形成する可能性があります。
顧客は組織と対話することで、企業のデジタル・フットプリントに貢献します。これには、ソーシャル・メディアに会社について投稿すること、レビューを書くこと、企業とデータを共有することなどが含まれます。
顧客は、オンライン・フォームに入力して定期購読に申し込んだり、オンライン・ショッピング・ポータルにクレジット・カード番号を入力するなどして、企業に直接データを提供することがあります。アプリがユーザーのIPアドレスや地理位置情報データを記録する場合のように、顧客は間接的なデータ収集を通じて貢献することもあります。
従業員は、会社のオンライン資産を使用したり、インターネット上で会社を代表して行動したりするたびに、企業のデジタル・フットプリントに貢献します。例えば、業務データを扱う、会社のノートPCでネットサーフィンをする、LinkedInで会社の代表として行動するなどの場合です。
従業員の個人的なフットプリントでさえ、ビジネスに影響を与える可能性があります。従業員が個人のソーシャル・メディア・アカウントで物議を醸すような態度を取ったり、共有すべきではない情報を共有したりすることで、企業のブランドを傷つける可能性があります。
企業のデジタル・フットプリントの規模と内容は、サイバーセキュリティー体制、オンラインでの評判、コンプライアンス状況に影響を与える可能性があります。
企業のデジタル・フットプリント自体が標的になる可能性もあります。蓄積された個人データがハッカーの目に留まります。ハッカーはこのデータを人質にとり、ダークウェブで売ると脅してランサムウェア攻撃を仕掛け、大金を稼ぐことができるのです。
企業がオンライン・プラットフォームを使用して政治的なトピックに対する態度を明確にすると、ハクティビストや国家ハッカーの怒りを買うこともあります。
企業のフットプリントが大きくなるほど、サイバー攻撃の危険にさらされやすくなります。企業ネットワーク上のインターネットに接続されたすべてのデバイスやアプリは、攻撃ベクトルとなり得ます。ベンダーの資産と活動も、組織をサプライチェーン攻撃の標的にする要因になります。
ハッカーは、従業員の個人のフットプリントを使用してネットワークに侵入する可能性があります。ハッカーは、ソーシャル・メディア・サイトで人々が共有する個人情報を利用して、高度な標的型詐欺であるスピア・フィッシングや ビジネスメール詐欺(BEC)を仕掛けます。従業員の電話番号のような、一見無害に見える詳細情報であっても、ハッカーにとって足がかりとなる可能性があります。また、従業員がパスワードの衛生管理を怠っていると(同じパスワードを複数の目的で使用する、パスワードを定期的に変更しないなど)、ハッカーがパスワードを盗み取り、ネットワークに不正にアクセスすることが容易になります。
企業の公開コンテンツ、ニュース報道、カスタマー・レビューはすべて、オンライン上の評判に影響します。そのコンテンツの多くがブランドを肯定的に描いていれば、その企業のデジタル・フットプリントは肯定的になります。多くの潜在的な顧客やクライアントは購入前にオンラインで企業を調査するため、肯定的なフットプリントは新たなビジネスを促進する可能性があります。
その反対に、否定的なフットプリントは企業を遠ざける可能性があります。否定的なフットプリントは、批判的なニュース報道、気分を害した顧客によるソーシャル・ネットワーキング・サイトへの投稿、粗悪な企業Webサイトが引き金となる可能性があります。
また、データ侵害が企業の評判を傷つける可能性もあります。顧客は、機密データを共有する際に、企業がオンライン・プライバシーを保護することを信頼しています。そのデータが盗まれた場合、人々は他の企業に乗り換える可能性があります。
企業が顧客や従業員から収集する個人データは、デジタル・フットプリントの一部です。これらのデータの多くは、特定のデータ・プライバシーおよび業界固有の規制の対象となる場合があります。例えば、EU域内の顧客と取引する組織は、一般データ保護規則(GDPR)を遵守する必要があります。また、患者の保護された医療情報(PHI)を扱う医療提供者などは、医療保険の相互運用性と説明責任に関する法律(HIPPA)を遵守する必要があります。
規制違反は、法的措置、罰金、ビジネスの損失につながる可能性があります。コンプライアンス違反として報道されるような事例には、通常、大規模なデータ侵害やサイバー攻撃が含まれます。しかし、組織はデジタル・フットプリントのあらゆる部分で規制違反のリスクを負うことになります。例えば、病院のスタッフが患者の写真や患者に関する噂話をソーシャル・メディアに投稿した場合は、HIPAA違反となる可能性があります。
企業はデジタル・フットプリントのすべての側面を制御することはできませんが、悪意のある攻撃者がそのフットプリントを自社に対して使用するのを阻止する手段を講じることはできます。
Googleアラートやその他の検索エンジンで会社名を通知するように設定することで、パブリック・フットプリントを追跡している組織もあります。これにより、オンラインでの評判に影響を与える可能性があるニュース報道、レビュー、その他のコンテンツを常に把握することができます。
攻撃対象領域管理ソフトウェアは、エンドポイント、アプリ、データベースなどのインターネットに接続する資産をマッピング、監視、保護することができます。セキュリティー情報およびイベント管理(SIEM)ソリューションは、フットプリント全体を通じて、異常で潜在的に悪意のある活動を捕捉することができます。エンドポイント検出および対応(EDR)ソリューションは、ハッカーが標的とする可能性のある資産を保護することができます。データ損失防止(DLP)ツールは、進行中のデータ侵害を阻止することができます。
仮想プライベート・ネットワーク(VPN)は、従業員やユーザーのオンライン活動をハッカーから保護し、ネットワークへの侵入経路を減らすことができます。
セキュリティー意識向上トレーニングでは、従業員自身と雇用主のメリットのためにデジタルIDを保護する方法を従業員に教えることができます。従業員が過剰な共有を避け、強力なプライバシー設定を使用することを知っていれば、ハッカーが利用できる情報は少なくなります。また、フィッシング詐欺の発見や、ネットワークがマルウェア やその他の脅威 にさらされるのを避けるために会社の資産を適切に使用することに重点を置いたトレーニングを行うこともできます。
組織のサイバーリサイレンスを迅速に改善します。 デジタル フットプリントの拡大を管理し、シャドー IT を発見し、敵対的な誘惑に基づいた相関性のある事実に基づいた調査結果で目標を達成します。
IBM Security® QRadar® SIEMに含まれるIBM X-Force Threat Intelligence Platformは、集約されたX-Force® Exchangeデータを使用します1。また、他の脅威インテリジェンス・フィードからのデータを統合し、新たな脅威や最新の脆弱性による機密漏れから組織を予防的に防御する上でも役立ちます。
IBM Security QRadar SIEM User Behavior Analytics(UBA)は、従業員の行動パターンのベースラインを確立することで、資格情報の侵害、横方向の移動、および組織に対するその他の脅威をより的確に検出することができます。
脚注
1 QRadar相関ルールとAQLでX-Force Threat Intelligenceデータを使用できます。