AIGは、お客さまが求める安心・安全なデジタル体験への対応に取り組んでいます。
グローバルなつながりが強くなっていく中で、より良いサイバーセキュリティ・プログラムの提供が、これまで以上に重要になっています。
AIGは、レジリエンスを持つビジネスを継続する上での、情報セキュリティの重要性を認識しています。また、進化を続ける脅威に対応することが、有効なリスク管理に欠かせないことも理解しています。お客さまご自身、またご家族やお客さまの仕事をより確実に守るための方法と、AIGが果たすことのできる役割に関して、以下をご参照ください。
AIGの情報セキュリティに対してのアプローチ
AIGでは、レジリエンスを持つビジネスを維持する上で、情報セキュリティが鍵となる重要な要素であると考えています。進化を続けるサイバー脅威に対処するため、AIGでは、情報セキュリティに対しリスク中心のアプローチをとっています。AIGは以下の事項を通じて、組織全体のセキュリティ機能の改善と向上を続け、自社のデータおよびお客さまのデータのセキュリティと安全性を優先事項とすることにコミットしています。
- インテリジェンス主導のリスクマネジメント
-
専任の担当者が、情報セキュリティ・インテリジェンスを確認し、情報セキュリティツールを活用して、ネットワークとアクセスポイントのセキュリティ確保に向けたプロセスと手順を定めています。また、サイバー脅威インテリジェンスは、戦略的事業計画において重要な役割を担っています。この情報に基づいたセキュリティ投資を行うことにより、進化を続けるサイバー脅威に対するAIGの対応能力を整備することが可能になります。
- データおよびアイデンティティ(ID)のアクセス管理
-
IDおよびアクセス管理コントロールを使って業務従事者のシステムおよびデータへのアクセスを管理することにより、AIGの情報とシステムの保護を実現しています。AIGは、安全な特権的アクセス、認証機能の強化に注力し続けています。
- 積極的なセキュリティ実践
-
セキュリティの取り組みに積極的な多層防御アプローチを取り入れることにより、AIGは進化を続けるサイバー脅威に対し、機敏に対処し適応しています。このアプローチは、セキュリティ監視機能と既存のツールセットを十分なものにしてサイバー脅威の透明性を確立することにより、AIG環境の可視性の向上に役立っています。あわせて、インターネット対応アプリケーションのセキュリティを強化することにより、セキュリティ脆弱性の是正の促進と、クラウド全体のセキュリティ改善にも取り組んでいます。
- セキュリティ体制およびアシュアランス(保証)
-
AIGにおけるセキュリティ体制の検証は、多角的なアプローチを用いて実施されます。AIGの統制環境の有効性を評価するにあたっては、独立した内部および外部組織からアシュアランス(保証)を取得しています。問題があればAIGの定義したリスク基準に基づいて優先順位が付けられ、改善に至るまで追跡されます。
- 従業員のトレーニングと意識向上
-
情報資産の機密性、可用性、完全性など、その安全の確保はAIGにおける優先事項です。AIGは、顧客データ、従業員データ、AIGの機密情報など取り扱うデータの種類を問わず、AIGの資産および情報の保護に役立つように設計された、従業員の継続的なサイバーセキュリティ意識向上トレーニングの実施にコミットしています。
サイバーセキュリティ意識向上月間
AIGは、毎年10月の米国におけるサイバーセキュリティ意識向上月間において、ベストプラクティスとオンライン利用時における安全に関するポイントを従業員と共有し、企業全体の強力なサイバーセキュリティ戦略を強化する機会と位置づけています。
サイバーセキュリティ意識向上月間は、一般の人々がオンライン利用時に、より安全でより安心な状態を保つために必要なリソースを得られるようにするため、米国政府と産業界の間の共同の取り組みとして生み出されたものです。
AIGは、全米サイバーセキュリティアライアンス(NCA)と提携して、サイバーセキュリティ意識向上月間のツールおよびリソースを従業員に浸透させ、さらにステークホルダーにはサイバーセキュリティ意識向上に関するポイントとベストプラクティスの共有を目指しています。
AIGのサイバーセキュリティおよび情報セキュリティリソース
AIGは、強力なサイバーセキュリティ・カルチャーの構築を支援する取り組みにおいて、サイバーセキュリティに関するポイントとベストプラクティスを組織全体で共有しています。また、進化を続けるサイバー脅威から保護された状態を維持する一助となるように、「デジタル初心者のためのサイバー安全対策」やその他の安全に関する多くのリソースなど、さまざまなサイバー安全対策ツールを従業員およびステークホルダーに提供しています。以下はその一例です。
AIGランサムウェアリソース:
ランサムウェア攻撃は、身代金(ランサム)の要求増加や、システムを復旧させるための関連費用の上昇により損失が拡大しています。AIGは、ランサムウェアおよび恐喝的攻撃の増大に伴い、グローバルレベルでのサイバー攻撃による事業中断が増加することを予測しています。国家の支援を受けた攻撃者による、重要なサービス提供者へのマルウェアおよび攻撃の急速な広がりは、広範囲にわたる混乱を引き起こし、潜在的に幅広い産業への物理的損害をもたらす可能性があります。
リスクを最小限にするため、複数のバックアップを持つなど、組織がリスクを軽減するために取ることができる多くの手段に加え、サイバー保険は、組織の収益基盤を守り、インシデントが発生した場合にも迅速な回復を助ける重要な後ろ盾になっています。
- ランサムウェアの脅威からご自身を守るのに役立つヒントは、「安全性の確保 - ランサムウェア攻撃」のページを参照してください。
- 本ページ下部にあるパートナー組織が提供する多くのリソースから、ご自身の組織で利用可能な、ランサムウェアに対する追加措置およびリソースがご覧いただけます。
AIGのフィッシングに関するリソース:
リモートワークの増加に伴い、従業員は、悪意のある攻撃者による悪用に際して、かつてないほど攻撃を受けやすい状態に置かれています。フィッシングは、組織のネットワークおよび機密情報にアクセスするために悪意のある攻撃者が使用する、最も一般的なタイプのサイバー攻撃の1つです。AIGは、繰り返しフィッシングシミュレーションテストを実施し、従業員全体での準備を実行し評価することによって、サイバー脅威に対するレジリエンスの構築に努めています。
- フィッシングの対策記事を読むことで、このタイプの脅威に対する防御方法についてのヒントを学ぶことが可能です。
AIGのより強力なパスワードに関するリソース:
ベストプラクティスを活かした対応が進められている一方で、パスワードハイジーン(パスワードの衛生)の状態の悪さが、依然として問題となっています。その他の点では安全なネットワークでも、単純なパスワードが最も脆弱な部分となる例はよくあります。攻撃者は、しばしばパスワードクラッキングツールを使って、暗号化されたパスワードを回避し、ユーザーのアカウントにアクセスします。パスワードが「password」、「qwerty」、「1234567」のような単純なものであった場合には、より簡単に実行できます。
以前はパスワードを定期的に変更するようアドバイスされていましたが、現在では、より強力なパスワードを設定し、使い続けることがより有効であるとみなされています。米国標準技術研究所(NIST)のサイバーセキュリティフレームワークは、パスワードとパスフレーズに関するベストプラクティスに関する情報を提供しています。 1
- パスワードを強化する方法に関する詳細をご覧ください。
- 多要素認証(MFA)を読んで、MFAによって情報とデータをオンラインでより良く保護する方法をご確認ください。
1出典:https://www.aig.co.uk/content/dam/aig/emea/united-kingdom/documents/Insights/cyber-human-factor.pdf
追加のサイバーセキュリティリソースおよび情報
非営利団体である全米サイバーセキュリティアライアンス(NCA)は、強力な官民パートナーシップを構築して、広範な教育および意識向上の取り組みを考案し実行しています。自宅、職場、学校のユーザーをエンパワーし、ユーザー自身と、ユーザーが所属する組織、そのシステムおよび機密情報が、オンラインでより安全で安心な状態を維持するために必要な情報を提供しています。他の25以上の民間企業と共に、AIGはNCAのボードメンバーとして、優れたサイバーセキュリティのハイジーン(衛生)に関するカルチャーの構築と推進を支援しています。役立つリソースの一部の例として、下記があります。(英語のみ)
- 全米サイバーセキュリティアライアンス(NCA):
- オンラインでの安全性の基本
- フィッシング ヒント集
- リモートワーカーに関するセキュリティ上のヒント
- 高校生以下の子どもためのセキュリティヒント集
- 無料のサイバーセキュリティのイベント、ヒント、リソースの詳細についてはNCAのリソースライブラリを参照してください。
米国国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、米国のリスクアドバイザーとして、今日のサイバー脅威に対する防御と、より安全でレジリエンスのある未来のインフラストラクチャ―の構築のために、他のパートナーと協働しています。CISAは、NCAの緊密なパートナーおよび協力者でもあり、サイバーセキュリティおよび情報セキュリティの豊富なリソースと安全に関するヒントを、一般の人々にだけでなく、公共機関および民間企業にも提供しています。このようなリソースの一部の例として、下記があります。(英語のみ)
- CISAのランサムウェアガイダンスおよびリソース
- CISAのランサムウェアガイド
- CISAのランサムウェアの警告とヒント
- CISAのソーシャルエンジニアリングおよびフィッシング攻撃の回避の記事
- CISAを通じたサイバーインシデントの報告方法またはFBIを通じたサイバー犯罪の報告方法
日本国内でのサイバーセキュリティソースについては下記をご参照ください。