どの時点で、ビジネスの侵入テストを検討する必要がありますか？

39秒ごとに、ハッカーが攻撃してネットワークに侵入し、個人情報を盗みます。 インシデントごとに、ブランドイメージと顧客の信頼を損なうとともに、平均で400万ドル近くを失う可能性があります。 特にあなたが中小企業である場合、その驚異的なコストはあなたの財務実績を深刻に阻害し、さらにはあなたの事業を閉鎖する可能性があります。

そのため、データ侵害がビジネスを破壊するのを防ぐには、侵入テスト（または略してペンテスト）などの強固なサイバー防御制御に投資する必要があります。 そのためには、とりわけ、それを実行するのに最適な時間と条件を知る必要があります。これが、この投稿で取り組む内容です。

しかし、最初に、それらのことをよりよく理解するのを助けるために、あなたがあなたの企業のために侵入テストを必要とする理由を見てみましょう。

ペンテストが必要な理由

1つは、侵入テストにより、ITネットワークおよびシステムに存在する重大な脆弱性が明らかになります。 これらの脆弱性の一部には、認証と暗号化のほか、クラウドストレージや弱いパスワードなどのデバイス、ネットワーク、およびホスト構成の不具合が含まれます。

これらのコンポーネントに不具合があると、ハッカーは中間者攻撃を開始し、顧客や従業員などとのオンライン通信を傍受する可能性があります。 侵入テストでは、データベースから情報を更新および取得したり、SQLサーバーに列が存在するかどうかを確認したりするために使用するSQLなどのコマンドインジェクションの欠陥を明らかにすることもできます。

ハッカーが悪意のあるSQLコマンドを挿入すると、バックエンドデータベースからの機密情報の公開を制御できるため、これは非常に重要です。 システムの脆弱性は別として、侵入テストは、ハッカーがそれらを悪用する方法（パッチを適用しないままにしておく場合）と、サイバー攻撃にどれだけ耐えられるかを明らかにすることができます。 攻撃のシミュレーションとして機能するペネトレーションテストは、IT防御の状態を現実的に示すため、これらのことを示すことができます。

これらの調査結果から、ペンテスターが提供する推奨アクションから、ハッキングを回避し、サイバーセキュリティの姿勢を強化する方法を学ぶことができます。 侵入テストは、サイバーセキュリティの重要な側面に対処するために、経営幹部、マネージャー、スタッフ、特にITチームを巻き込む機会を提供します。

たとえば、データアクセスの承認、リスク管理などに関する会社のポリシーとプログラムを強化できます。 情報セキュリティや不正な戦術の認識などに関するスタッフのトレーニングを組織することもできます。

役立つリソースを広めることで、サイバーセキュリティに対する従業員の意識と侵入テストの役割を高めることもできます。 サイバーセキュリティについて学ぶことになると、これらはあなたが調べることができる最も重要なリソースのいくつかです：

• ペネトレーションテスト：https：//www.bulletproof.co.uk/penetration-testing
• フィッシングの検出と防止の手法：https：//www.csoonline.com/article/2117843/what-is-phishing-how-this-cyber-attack-works-and-how-to-prevent-it.html
• サイバーセキュリティトレーニングの重要性：https：//www.entrepreneur.com/article/340838

次のセクションで説明するように、侵入テストは、関連する業界標準に準拠するのにも役立ちます。

ペンテストを実施する時期

会社で侵入テストを実施するのに最適な時期の1つは、最近、新しいシステム、ITインフラストラクチャ、アプリなどを導入したとき、またはそれらに大幅な変更を加えたときです。 これらの変更には、たとえば、ファームウェアの更新、ソフトウェアのアップグレードとパッチ、ファイアウォールプロトコルの変更が含まれます。

理想的には、システムを運用する直前に侵入テストを実行し、頻繁かつ大幅な変更をシステムに適用する必要があります。 ペネトレーションテストを頻繁に変更しながら早すぎると、システムに存在するセキュリティ上の欠陥を見落とす可能性があります。

さらに、適切なセキュリティ評価なしに新しいシステムまたは新しく改良されたシステムを起動すると、サイバーリスクや潜在的な侵入攻撃にさらされる可能性があります。 企業や顧客の機密情報や金融取引をオンラインで処理する場合は、侵入テストも検討する必要があります。

たとえば、eコマースストアを所有している場合、顧客は名前、住所、クレジットカード番号、およびその他の個人情報を提供して、オンラインでの購入の支払いを行うことができます。 このように機密情報を管理すると、システムをハッキングし、資産を盗み、危害を加えようとするサイバー犯罪者の魅力的な標的になります。 ペネトレーションテストがなければ、セキュリティ制御の堅牢性は大幅に低下し、サイバー脅威からこれらのデータ資産を保護するのに苦労する可能性があります。

また、IT防御がどれほど弱いか強いか、どこに影響を受けやすいか、そしてどのように猛攻撃を阻止できるかを具体的に知ることはできません。 個人の顧客や会社のデータを扱うということは、関連する業界標準に準拠する必要があることも意味します。これは、侵入テストを検討するためのもう1つの例です。

1つは、インターネット上の人々の情報を処理する際に、一般データ保護規則に従う必要があります。 ビジネスで医療と健康の詳細を扱う場合は、1996年の医療保険の相互運用性と説明責任に関する法律（HIPAA）に準拠する必要があります。

著名なクレジットカードやカードスキームを通じてオンライン料金を促進すると、Payment Card Industry Data Security Standards（PCI-DSS）の責任を負うことになります。 Service Organization Control（SOC）2は、クラウドで顧客データストレージサービスを提供する場合に使用します。

これらの業界標準では、データの安全性を確保するために、テクノロジの堅牢性を保証する必要があります。 それらのいくつかは、準拠するために定期的に侵入テストを実行することを明示的に義務付けています。

侵入テストの頻度

利用可能なビジネス向けの画期的なセキュリティテクノロジーがありますが、セキュリティの専門家は通常、企業が6か月から1年ごとに侵入テストを実施することを推奨しています。

あなたが従う業界の規制はまた、彼らの要件を遵守するためにあなたが試験を管理する必要がある頻度に光を当てます。

1つは、HIPAAは、外部のサービスプロバイダーを雇って、少なくとも年に1回は侵入テストを行うように求めています。

一方、PCI-DSSとSOC 2では、6か月ごとに侵入テストを実行する必要があります。

これらの周期的なパターンは、ビジネスで侵入テストを実行する頻度の一般的なガイドとして観察できます。

今より良い時間はありません

ハッカーが39秒ごとに攻撃する場合、受動的になり、サイバー脅威の次の犠牲者になる余裕はありません。 ペネトレーションテストは、ハッカーが悪質なサイバー攻撃を仕掛ける前に、まずITシステムを保護する機会を提供します。

だからこそ、あなたのビジネスのためにペネトレーションテストを検討するのに今より良い時はありません。 そうすることができるのが早ければ早いほど、ビジネス資産をより早く保護し、長期的には生産性、パフォーマンス、および運用に対するペネトレーションテストのメリットを体験できます。

これについて何か考えがありますか？ コメントで下に知らせてください、または私たちのツイッターまたはフェイスブックに議論を持ち越してください。

編集者の推奨事項：

• テクノロジーを使用してビジネスの生産性を向上させる4つの方法
• リングレスボイスメールがビジネスの成功をどのように高めることができるか
• 中小企業の最も一般的なITニーズ
• Robinderpal Rathorによると、あらゆるビジネスに必要なトップテクノロジー製品