ライアン・アウン博士はSlavic401kのCIO/CISOを務めています。
サイバーセキュリティの世界を長年にわたって歩んできた者として、私は顧客向けセキュリティが企業セキュリティと同等か、それ以上の注目に値することを学びました。企業はしばしば社内ネットワークや従業員データの保護に注力しますが、それは確かに重要です。しかし、顧客向けアプリケーションが脆弱な状態にさらされると、リスクははるかに高くなります。個人識別情報(PII)に関わる単一の侵害でも、IT部門を超えて広範囲に影響を及ぼす可能性があります。規制上の罰則を招き、ブランドの評判を損ない、顧客の信頼を失うことにつながりかねません。
金融サービス企業、eコマースプラットフォーム、大規模なウェブプレゼンスを持つ企業は、従業員データよりもはるかに多くの顧客データを扱っています。侵害が数千あるいは数百万の顧客記録に及ぶと、重大なビジネス危機に直面することになります。
信頼、ユーザー体験、セキュリティのバランス
企業が直面する最大の課題の一つは、シームレスなユーザー体験と強固なセキュリティのバランスをどう取るかです。誰もが簡単なログインとサービスへの迅速なアクセスを望みます。しかし、物事を簡単にしすぎると攻撃者に隙を与えることになります。例えば、金融機関はアプリケーションコードから顧客のログインを管理する顧客IDプラットフォームまで、あらゆる層を保護する必要があります。これらの領域のいずれかに弱点があると、他のすべてが無効になる可能性があります。
利便性と保護のバランスを見つけることは、科学と芸術の両方です。アカウント乗っ取り率の追跡や、侵害の試みの数と不正ログイン成功数の比較など、メトリクスは防御が機能しているかどうかを示す助けになります。顧客の苦情やフィードバックも手がかりになります。多くのユーザーがロックアウトされたり不満を感じたりしていると報告している場合、過剰に厳しい可能性があります。誰も不満を言わないのに攻撃が通過している場合は、おそらく緩すぎるでしょう。
ツールと戦略
まず最初に取り組むべきは、顧客が日々接するシステムです。堅牢な顧客ID・アクセス管理(CIAM)プラットフォームが不可欠です。これらは顧客のアクセスを安全かつ効率的に管理するために特別に構築されています。これがなければ、バックオフィスの保護がどれほど強固でも、攻撃者が正面玄関から侵入するのを防ぐことはできません。
次に、火には火で対抗する必要があります。今日のハッカーはAIを使用して攻撃を強化しているため、防御にはAIを活用した脅威検出と防止を含める必要があります。自動化ツールは人間のチームよりも迅速に異常な行動を認識し、侵害がエスカレーションする前に阻止できます。
防御の定期的なテストは極めて重要です。模擬攻撃を実施し、Bitsightなどのサービスでセキュリティ評価を確認し、結果に基づいてアプローチを調整します。高評価はサイバーセキュリティの信用スコアのようなもので、顧客やパートナーがあなたが保護を真剣に考えていることを確認しやすくします。
効果的なセキュリティには企業と顧客の両方が責任を共有する必要があり、顧客教育は重要な要素です。多要素認証やより厳格なパスワードポリシーを最初は好まないかもしれませんが、なぜそれらを実装しているのかを理解すれば、変更を受け入れる可能性が高くなります。これが、私たちが月次顧客ニュースレターにセキュリティトピックを含める理由です。ウェビナーや短い記事も、人々が新たな脅威について情報を得るのに役立ちます。
トップからのリーダーシップ
顧客セキュリティはビジネス上の問題であり、予防は常に侵害後の対応よりも費用がかかりません。そのため、C層の積極的な関与が必要です。CEOと経営幹部全員が顧客セキュリティの不備がもたらす影響を理解する必要があります。トップダウンのアプローチと部門間の明確なコミュニケーションにより、効果的なセキュリティが確保されます。
自問してみてください:あなたの顧客セキュリティ能力は、データや収益だけでなく、評判や顧客との関係を保護するのに十分な強さを備えていますか?確信が持てないなら、それがあなたの答えです。顧客セキュリティイニシアチブを優先することは、最も機密性の高い情報を託してくれる人々へのコミットメントを示すものであり、それがあなたのビジネスを際立たせる要因となるのです。
