Uncategorized

企業はどのようにしてコンタクトセンターのセキュリティに優先順位を付けることができますか?

2021年6月15日

  1. HOME >
  2. Uncategorized >

企業はどのようにしてコンタクトセンターのセキュリティに優先順位を付けることができますか?

2021年6月15日

最近の多くの組織では、特にパンデミックが始まってからサイバー攻撃が400%増加したため、セキュリティが最重要課題となっています。注目に値する警戒すべき攻撃には、侵入手段として広く使用されているサードパーティのツールを使用する国民国家の脅威アクターによる連邦政府への攻撃が含まれます。コンタクトセンターも例外ではありません。DDoS攻撃などの標準的なサイバーセキュリティの脅威に直面しているだけでなく、顧客の個人データを標的とした攻撃も増加しています。データセンターで管理および保守されているクラウドベースのコンタクトセンターを使用している場合、これらの脅威は増大する可能性があります。コンタクトセンターのエージェントをアウトソーシングしている場合はさらにそうです。アクセスポイントと責任範囲が増えます。

組織が犯す可能性のある最大の過ちの1つは、コンタクトセンターまたはCCaaSに対して、他のアプリケーションと同じセキュリティ制御または姿勢を設定していないことです。コンタクトセンターには、CRM / ERPシステムやデータベースと同様に、保護が必要な機密データがあります。そのことを念頭に置いて、組織は多層防御アプローチを採用し、コンタクトセンターまたはCCaaS環境に重要かつ必要な重要な要素を組み込む必要があります。

適切な物理的制御–最新のデータセンターのほとんどはISO / IEC 27001認定を受けています。つまり、特定の物理的セキュリティコンポーネントを配置する必要があります。ただし、そうでない場合は、次の物理的制御を実装する必要があります。

  • 組織レベルの物理的セキュリティポリシー。すべてのスタッフと外部委託された労働者は、ポリシーの重要性を認識し、それに従う必要があります
  • すべての安全なエリアに適切なCCTVカメラを設置し、死角をほとんどまたはまったく発生させず、適切なビデオを保持します
  • 安全なエリアへの単一のエントリポイントと、プライベートラックおよびサーバーの追加の物理アクセス制限
  • 認証後に1人だけが通過できるアンチテールゲーティング/アンチパスバックターンスタイルゲートを備えた物理的アクセス制御システム
  • 従業員バッジ/ FOB /キーカードの紛失または盗難に関するポリシーと手順の文書化

CCaaSソリューションを活用する場合、マネージドサービスプロバイダーは、これを維持し、どのような物理的制御が実施されているかを詳細に説明するドキュメントを提供する責任があります。

適切な技術的制御–コンタクトセンターのネットワークシステムまたはリソースは、次世代ファイアウォール、侵入防止および検出システム、アクセス管理、およびその他の技術的制御によって保護する必要があります。考慮すべきいくつかのより高度な制御は、適応型多要素認証、ゼロトラストネットワークアクセス、サービスとしての物理的セキュリティ(PSaaS)、およびユニバーサルエンドポイント管理(UEM)です。

適切な管理制御–詳細なセキュリティポリシーをさらに拡張するには、機密情報の処理方法に関するポリシーと制御が必要です。コンタクトセンターまたはCCaaSアプリケーション内で、個人情報を「機密」としてラベル付けするための指示を作成する必要があります。

適切なエンドポイント保護–ソフトフォンまたはコンタクトセンター/ UCaaSアプリケーションを利用してすべてのエンドポイント保護することが必須です–エンドポイントの検出と応答/ウイルス対策/高度なマルウェア保護をインストールするだけでは不十分です。SANS Instituteによると、エンドポイント検出および応答ソリューションは初期攻撃ベクトルの26%しか検出せず、大量のEDRシステム通知があるため、セキュリティ専門家の54%は調査が必要なアラートを無視します。クロスレイヤー保護と拡張検出および応答(XDR)ツールによる可視性の向上。

PCIコンプライアンス

コンプライアンスの範囲はコンタクトセンターを超えており、不適切または悪意のある関係者が機密の財務データを利用できないようにするため、コンタクトセンターテクノロジの量によって、企業が完全なPCIコンプライアンスに準拠していることは保証されません。エージェントによるアクセスを制限し、コールセンターの記録を安全に保存することで、データを保護し、PCIの懸念を軽減できます。

これを実現する1つの方法は、エージェントが発信者を転送して顧客の支払いデータを取得して処理し、トランザクションが完了したら発信者をエージェントに転送できるインターフェイスを作成することです。独立したアウトソーシングエージェントがこれを行うことができる場合は、データが顧客と一緒に保存されることはなく、支払いを容易にする金融機関とのみ共有されるようにするのが最善です。

これは、発信者に顧客と情報を共有させるよりも優先され、顧客は機密データの直接処理に関与します。これにより、エージェントが機密情報を書き留めたり、IT管理者を含む他の従業員が個人の財務情報を示すログファイルにアクセスしたりすることも防止されます。

データ管理

保存および送信されるデータは常に暗号化する必要があります。これはセキュリティの重要な層です。これにより、暗号化キーなしで機密データを表示することがより困難になり、顧客データを保護続けるという企業の取り組みがさらに実証されます。ベストプラクティスは、可能であれば、顧客の機密データを保存または送信しないようにすることです。保存する必要がある場合は、短期間設定してから永続的にパージするか、長期保存のために別の安全な場所に移動する方法を見つけてください。企業にとって、データを保存する必要があるかどうかを評価することは重要です。顧客の社会保障番号をファイルに保存する必要がありますか、それとも機密データを即座に削除できますか?

多くの企業は、この情報をリアルタイムでキャプチャするCRM統合を備えているため、保存する必要がありません。さらに、セキュリティ上の目的で通話の録音が義務付けられている場合は、これらの録音を転記して機密データを分離する方法を見つけてください。次に、自動または手動のプロセスを使用して、このデータを継続的に削除または再配置します。

企業はまた、ライブエージェントにすべての情報を提供するのではなく、顧客に安全なシステムでデータを送信させる、または限られた数字のみを提供させるなど、このデータを取得するためのより安全な方法があるかどうかを識別できるかどうかを確認する必要があります。

ファイアウォールは、コンタクトセンターの最悪の敵である場合があります

過去20年間、コンタクトセンターをサポートするクラウド通信アーキテクトとして、ファイアウォールによって引き起こされるサポートチケットの数(少なくとも30%)を直接目にしました。セキュリティ担当者や自動化されたセキュリティアプリケーションが重要なサービスをシャットダウンすることは珍しくありません。

残念なことに、ITセキュリティスタッフとコンタクトセンターのエンジニアは通常、同じサークルで活動していません。IVRが外部データベースへのデータベースディップを実行している場合、またはエージェントがWebベースのデスクトップクライアントを使用してグリーティングを記録している場合、セキュリティは必要なアクセスを認識せず、サービスが何をしたかさえ知らずにこれらのサービスを中断する可能性があります。

もう1つのベストプラクティスは、セキュリティアプライアンスのセキュリティポリシーまたは構成に変更が加えられた場合、それらがコンタクトセンターのサポートに明確に伝達されるため、変更とサービスの中断との相関関係を簡単に引き出すことができます。

上記の要素を実装しても、コンタクトセンターは無敵にはなりませんが、多層防御アプローチを採用することで、攻撃をより迅速に保護、検出、軽減、および隔離し、脅威の攻撃者をより細かく制御できます。今日の脅威の量と規模を考えると、セキュリティはコンタクトセンターを安全に保つために標準を超える必要があります。

寄稿者:Jim Bowers、セキュリティソリューションアーキテクト、TBI。

-Uncategorized