NGO のサイバーセキュリティを向上させる
2023 年 5 月 19 日 編集部記事
デジタルトランスフォーメーションは非政府組織(NGO)を含むすべての業界に及んでいます。これらの組織は現在、プログラムの提供や拡大、受益者との関わり、困っている人々への機敏な対応などの能力を向上させるため、テクノロジへの依存度を高めています。
このような変革は NGO に対し多大な利益をもたらす一方で、サイバー犯罪者にとっては魅力的な標的を作る原因ともなっています。「2023 Nonprofit Tech for Good Report」によると、世界の非営利組織の 27% がサイバー攻撃を受けた経験を持つ、との調査結果が出ています。
NGO は、過酷な状況にある人々の機密情報や寄付者からの財務データなど、大量のデータを収集、管理、処理しており、悪意のある行為者はこれを狙っています。今や NGO 業界は、ハッカーにとって 3 番目に狙われる業界となっています。
2022 年 1 月、スペインにある国境なき医師団のサーバが侵害されました。幸いにも事件は拡大せず、大規模なデータ漏洩は回避されました。同様に昨年 2 月には、赤十字国際委員会(ICRC)が、サーバに影響を与えるよう設計されたコードで攻撃されました。この場合、もし事前の対策がとられていなければ、約 50 万人に影響を与えるデータ消失に至っていた可能性があります。
こうした組織が直面するリスクを考慮して、多くの NGO は壊滅的な損失を被ることを避けるため、保険会社を利用しています。実際、Cyberpeace Institute によると、2022 年上半期にはNGO による保険金請求が 57% 増加という驚異的な伸びを示しました。
NGO のためのサイバーセキュリティ 8 つの基本原則
NGO が集めた資金は主に活動の支援に充てることが目的であり、一般的にはサイバーセキュリティへの投資が不足しがちです。また知識や専門スタッフが不足している場合もあります。このような状況を打破するために、サイバーセキュリティの基本を以下に紹介します。
- 1- セキュリティポリシー:
NGO は、サイバーセキュリティのポリシーを明確かつ十分に定義する必要があります。しかしその前に、「何をどのように守るか」を把握することが先決です。その上で初めて、組織のすべてのプロセス、システム、人員を含む一連の対策と手順を策定することができます。サイバーセキュリティは個々人の責任であり、従業員や IT スタッフに対して定期的に啓発プログラムを実施し、サイバーセキュリティを組織の文化として根付かせることが重要です。 - 2- ソフトウェアのアップデート:
堅牢なサイバーセキュリティを実現するためには、ソフトウェアのアップデートが不可欠です。システムの脆弱性によるセキュリティ侵害を避けるために、オペレーティングシステムとアプリケーションの両方が更新され、最新のパッチで確実に保護することが必要です。 - 3- 強力なパスワード:
パスワードは、組織にとって最初のセキュリティバリアとしてユーザの認証情報を保護します。従業員は、必ず強固で複雑なパスワードを利用し、定期的に変更し、同じパスワードを繰り返し使用しないようにする必要があります。また追加のセキュリティ層として MFA(多要素認証)を適用することも推奨されます。 - 4- バックアップ:
定期的なバックアップを取っていれば、セキュリティ侵害が発生した場合に、データを確実に回復することができます。効果的な保存のためにも、NGO は適切なポリシーと技術的な手段を確立する必要があります。例えば、重要なデータの暗号化されたコピーを複数保存することで、必要に応じてバックアップを簡単に復元できます。 - 5- トレーニングと意識向上:
効果的なヒューマンリスク管理には、全スタッフにサイバーセキュリティの脅威に関するトレーニングを行うことが必要です。これにより、フィッシングやソーシャルエンジニアリングなどの攻撃を認識し、防止することができます。組織の対応能力は、ユーザ自身をいわば検知器にすることで向上します。 - 6- アクセス制限:
脅威者が NGO 職員の認証情報を入手した場合、ネットワーク内での水平移動を避けるため、アクセス権やシステムへのアクセスを正当な必要性のあるユーザに制限することが最善です。ほとんどのソフトウェアシステムでは、管理者が各従業員の役割に基づいて権限レベルを調整することができます。 - 7- リスクアセスメント:
システムやプロセスの脆弱性を特定、対処するためには、定期的なサイバーリスク評価が必要です。これにより自社の弱点を認識してサイバー攻撃を減らすことができます。 - 8- 監視と侵入検知:
NGO は、不審な、悪意のあるアクティビティを検知し対応できるよう、積極的にシステムを監視する必要があります。ファイアウォールや侵入検知・防止システムなどのソリューションを導入し、機密データ、システム、従業員を保護する必要があります。