会計士向けのサイバーセキュリティガイド

会計のセキュリティにおいて「1オンスの予防は1ポンドの治療の価値を持つ」の格言がこれほど正しかった時代はありません。最近の9月の影響範囲が未だ特定されてない攻撃について今も動揺を隠せないでいる、デロイトトウシュ トーマツのセキュリティの専門家に聞いてみてください。デロイトを攻撃対象にしてたハッカー達は、アカウントが二段階認証がない単一の弱いパスワードのみによって保護されていたため、会社のMicrosoft Azureクラウドへのアクセスを得られたのです。

会計士が取れるサイバーセキュリティを最大化するためのシンプルな対策

会計コンピューターシステムは攻撃者が切望する情報にあふれています。幸運にも、攻撃のほとんどはいくつのシンプルな対策で予防が可能です。パスワードマネージャーやセキュアなデジタルボルトが類似のデータ侵害を保護できる簡単な方法について、このガイドに従ってください。顧客はきっとあなたに感謝するでしょう。

1 厳格なパスワードポリシーを施行する

多くの商用会計ソフトウェアはかなりセキュアであるように設計されている一方、これらのシステムへのセキュアなアクセスの規制はユーザーの手に委ねられており、最も弱いセキュリティリンクとなります。セキュアなデータを含むあらゆるものが強いパスワードで保護されることは必須です。Keeperの業界トップのパスワードマネージャーを始めとするパスワードマネージャーやデジタルボルトは自動的にハッキングをほぼ不可能にする、高強度でランダムなパスワードを作成することができます。

パスワードマネージャーは自身で文字列を見る能力を彼らに与えることなく、管理者が彼らに複雑なパスワードを割り当てるのを可能にします。従業員がパスワードを書き出したり別の従業員と共有することが一切なく、各ウェブサービスにログインすることができます。さらに、従業員が御社を退社した場合、必要なのはパスワード記録の削除か変更だけです。

2 文書のセキュリティを向上する

ほとんどの業界と同様、会計事務所は速度、効率、利便性向上の為、文書をオンラインに移行しました。違いは会計士は機密性の高い顧客データに関与することです。しばしば機密のデータを含む文書は、ダウンロードされシンプルな保護されないテキストファイルとしてローカルに保管されます。また社内で共有されたりメール経由で顧客と共有され、これはセキュアでないという点で悪名高い慣行です。これらの慣行が合わさると、機密のデータがハッカー達に思いのままに盗まれてしまいます。

もっとセキュアな方法はKeeperの暗号化されたボルトの中だけでファイルを共有することです。機密の情報を社内または外部の顧客と共有する時は、セキュアなデジタルボルトにファイルを置き、無料のKeeperアカウントを持つ誰とでも暗号化された記録を共有しましょう。

3 セキュリティ対策を従業員所有のデバイスにまで拡大する

BYODポリシーが広まりビジネス向けスマートフォンとタブレットが浸透する中、会計事務所は従業員のモバイル機器が自らのサイバーセキュリティへの対応を弱めないことを確保する必要があります。非常に便利な一方で、適切なセキュリティ面での予防措置がなければ従業員所有のデバイスは御社の顧客のデータへの困ったゲートウェイとなり得ます。このような問題はポネモン研究所の2018年中小企業サイバーセキュリティ教書で中小企業のデータの50%がスマートフォンからアクセス可能であると示されているように、増加しています。

会計事務所は二段階認証によって保護されていない限り、モバイル機器から機密情報にアクセスしたりモバイル機器上に機密情報を保管すべきでありません。利便性のため多くの人々がシンプルなPINやパターンマッチング、生体認証による保護を利用しています。研究によればPINやパターンは人間にやカメラ監視よる予測が可能であり、顔または指紋認証システムさえも完全な保護を提供しません。最低でも２つの組み合わせがモバイル機器上で適切にデータを保護するのに必要です。Keeper DNA^®は必要な機器のセキュリティを追加するための強化された二段階認証として開発され、全てのKeeperモバイルアプリケーションに組み込まれています。

Keeper パスワードマネージャーとセキュアデジタルボルトの使用についての詳細

• ビジネス向け Keeper パスワードマネージャーとデジタルボルトの無料トライアルを開始
• 会計テクノロジーの未来ー革新的なサイバーセキュリティソリューションの提供：SlideShare
• 独占研究レポート：2018年中小企業サイバーセキュリティ教書
• Keeperがこれまでいかに金融サービス企業を助けたか：事例研究を読む

4 文書のセキュリティを向上する

メールは大きな脆弱性のポイントです。既に言及したように会計士はメールを使用して顧客に報告書やその他の文書を送信すべきでなく、代わりにセキュアで暗号化されたボルト内から顧客と共有すべきです。御社のオフィスのスタッフがフィッシング詐欺、特に特定の個人を標的にするスピアフィッシングに注意を払うことも同様に重要です。保有する情報の価値のため、会計士は主要な標的となっています。一部のスピアフィッシングを行うハッカー達は非常に騙すのが上手く、彼らのメールを検知するのはほぼ不可能かもしれません。発信元のメールアドレスをよく確認し、リンク先が確実でない限り決してリンクをクリックしないよう同僚に呼びかけましょう。

全従業員のログイン情報をパスワードマネージャーに保管することにより、従業員がフィッシング詐欺に引っかかる可能性は低くなります。URLと隠されたパスワードのみでログインする習慣を従業員は持つでしょう。従業員が実際のパスワードの値を知らない時、フィッシングサイトやメールで彼らがそれを入力することはありません。

5 リモートで、賢く働こう

リモートワークは全産業を横断して急激に増加しました。自宅で仕事をしていても、出張旅行でも、移動中のメールチェックでも、従業員は場所に関係なく仕事を継続できることを期待されています。移動中に仕事できることが柔軟性を提供する一方で、データ侵害の危険も生んでいます。

会計士は機密情報にアクセスまたは機密情報をやり取りする際、決して公共Wi-Fiを利用するべきでありません。ハッカー達は容易に公開のデータストリームをタッピングしてプレーンテキスト形式のデータを盗み取る事ができます。公共のコンピューターを利用する予定なら、エンドツーエンドの暗号化のためVPNソフトウェアを取得するか、全てのやり取りされるデータが暗号化されたボルト内に留まることを確保してください。

ハッカー達はどのような情報を求め会計のプロフェッショナルを標的にするか？

会計士はハッカー達のコミュニティにおいて特別な栄誉ある地位を持つと認識されています。盗まれた情報のダークウェブで最高のプレミアムを持つ情報に関与するからです。なので、会計士はあらゆる種類のサイバー盗賊にとって主要なターゲットになります。また、会計士は攻撃によるダメージに対して特に脆弱です。顧客は高度な機密情報の執事として会計士を信用しています。侵害は会計事務所の評判にとって致命的である場合があります。

会計コンピューターシステムは次を含む攻撃者が切望する情報にあふれています：

顧客のIDカード番号

サイバー犯罪者はこの情報を利用して詐欺や個人情報の盗難を行う一連の機会を見出します。その中には盗まれた個人情報を使ったクレジットカードの登録やソーシャルエンジニアリングを通じた銀行やヘルスケアの口座への不正アクセスがあります。攻撃者がIDカード番号を取得したなら、顧客の生活を乱そうという彼らのゴールはもうすぐです。

住所、電話番号、そして生年月日

フォーム1040の全ての正規の欄、これこそが攻撃者が架空のクレジットの口座を作成して現行の口座をハイジャックするため必要とする残りの情報です。

配偶者と子供の名前、雇用の場所、そして年収

身元情報詐欺にも役立つのは配偶者と住所の名前で、チャレンジ質問のセキュリティバリアを突破されるのに使用されることが可能です。他の上記の個人の情報とともに、攻撃者は顧客の窓口の人間を言葉たくみに信用させ財務情報へのアクセスを得ることができるかも知れません。

保険記録

フォーム1099-HCとレセプトはハッカー達が保険や調剤の詐欺に使用できる豊富な情報を明らかにします。実際、保険記録は現在、盗難された情報の取引所で高値を付けています。

雇用者情報

雇用者ID番組、給与情報そして組織の会計部門の窓口の人間の氏名にアクセスできる犯罪者は不正な経費報告書、請求書、保険金請求を提出することができます。

財務報告書

顧客が会計士に渡す年末の財務文書は通常口座番号を含みます。納税者も定期的にクレジットカード情報を含むレシートを共有します。これらは小切手やクレジットカードの詐欺に使用されたりソーシャルエンジニアリングを通じた口座にアクセスに使用されることができます。

メールアドレス

銀行口座とメールアドレスで武装したハッカーはシンプルな「パスワードを忘れましたか」のプロセスを踏み台に、オンラインバンキングと株式口座をハイジャックできるかも知れません。メールアドレスもなりすましに使用されることができ、あたかも本当の送信者のような迫真のメッセージを犯罪者が他に送信することを可能にします。