PCやスマートフォンのみならず、あらゆるデバイスがWebに接続される時代。サイバーセキュリティにおけるインシデント発生の多くは、従業員の不注意によって生じています。だからこそ、セキュリティ教育の重要性が高まっているわけですが、何を・どこまで教育すべきか整理できている企業は決して多くありません。
本記事では、あらゆる企業が最低限従業員に教育すべき事項をご紹介します。
ページコンテンツ
社員教育で押さえたい「情報セキュリティ」の基礎
NPO日本ネットワークセキュリティ協会(JNSA)が公表した調査結果によると、サイバー攻撃による不正アクセスの原因として、およそ76%が従業員によるミス(ヒューマンエラー)とされています。これはすなわち、どれだけ優れたセキュリティの仕組みを構築しても、従業員に適切な教育を施さない限り、同じような事故が発生することを意味しています。
では、具体的にどのような教育が必要なのでしょうか?最低限教育・指導すべき事項としては、次の5つが挙げられます。
1.パスワードの管理方法
利用頻度が高いデバイスやサービスほど、日々入力を繰り返すことになる「パスワード」。「忘れてしまうと面倒だから・・・」といった理由から、同じパスワードを使い回していたり、他人から推測されやすい文字列を使っていたりする人が多いものです。
情報漏えいに直結しやすいからこそ、次の基本的なルールは全社で徹底して実践しましょう。
●英⼤⽂字⼩⽂字+数字+記号混じりで少なくとも10桁以上に設定する
●ノートなどにメモする場合には、他者に⾒られることのないよう鍵の閉まる引き出しに⼊れる
●スマートフォンやノートPCのメモアプリに暗号をかけずにパスワードを残すことは禁止する
※この他、通常のパスワードに加え、2つ以上を組み合わせる多要素認証(*1)を取り⼊れることが望ましい
(*1) 「知識情報」「所持情報」「⽣体情報」のうち、2つ以上を組み合わせる方式
2.不審なネットワークに繋がない
近年はカフェやホテルを始めとして「Free Wi-Fi」の提供が増えています。しかし、マルウェアへの感染リスクや情報漏洩リスクが高い点を踏まえると、これらに接続すること自体が極めて危険です。
気軽に接続できてしまうからこそ、「社内で承認されたネットワーク・Wi-Fi以外の利用は禁止」と繰り返し、周知することが重要です。
3.メール送信時の注意点
一斉に大量のメールを送信する場合や、初めてメールを送る相手がいる場合、「誤送信」には十分に注意が必要です。例えば、ccとbccの違いを理解せずに、イベント参加者数万人のメールアドレスが流出した事故や、メールアドレスの打ち間違えによる機密ファイルの流出事故など、例を挙げれば枚挙にいとまがありません。
従業員教育においては、「部門や職種を問わず誤送信のリスクを抱えていること」を周知しましょう。また、重要なメールを送付する前にはダブルチェックを行う、といったルールの運用も重要です。
4.フィッシング詐欺/標的型攻撃への備え
近年、Googleを始めとするメジャーなWebサービスを模倣したサイトが登場しています。そして、このようなサービスに誤ってログインし、アカウント情報が盗まれる、といった被害も増えています。このような手口を「フィッシング詐欺」と呼びます。
また、特定企業にウイルスを添付したメールを大量に送り付ける「標的型攻撃メール」も増えています。2018年に大手航空会社がこの手口によって3億円以上をだまし取られた事件は、多くの人の記憶に新しいはずです。
従業員教育を行う上では、このような手口の存在を周知した上で、次のような習慣づくりの徹底指導が必要です。
・サイトの安全性を予めチェックする癖をつける
・身に覚えのないメールは開かない
5.ソフトウェアのインストール時は要注意
最後にご紹介するのは、フリーソフトを始めとする「ソフトウェアのインストール」です。社員のなかには、「初めは警戒したけど、慣れてしまったので、便利なツールはどんどんインストールしてしまっている」という方も多いはず。しかし、フリーソフトやブラウザの無料アドオンを始めとして、昨今は悪質なソフトウェアも多く混在しています。
完全なアンインストールが難しいものも多いため、「安全性が確認されていないソフトウェアやダウンロードしない」「そもそも怪しいWebサイトにはアクセスしない」といった指導やルール作りの徹底が必要です。
外部の「情報セキュリティ」教本も活用しよう
基礎的な教育に加えて欠かせない取り組みが、業務シーン別に求められる知識のインプットです。
昨今、業務上求められるテクノロジーの知識は極めて多様化しています。だからこそ、全従業員に向けて共通の教育を行っても、網羅的にカバーすることは困難といえるでしょう。
そこで活用したいツールが、専門機関が発行している「情報セキュリティ」教本です。
例えば、IPA情報セキュリティセンターでは、業務シーン別の注意点をまとめた「情報セキュリティハンドブック」や、セキュリティ対策が必要な理由やトレンドをまとめた「情報セキュリティ読本」が公開されています。
<参考>
・IPA情報セキュリティセンター(https://www.ipa.go.jp/security/keihatsu/sme/guideline/)
これらの活用に加えて、知っておきたい重要な知識があります。それは、「マルウェア等がネットワークに侵入する前」だけでなく、「マルウェア等がネットワークに侵入した後」にも効果を発揮する仕組みがある、ということです。
情報漏えいといった最悪の事態を防ぐためには、水際で被害を防ぐための仕組みが必要です。
では、例えマルウェアの侵入を許してしまったとしても機能するセキュリティ対策の”最終防衛ライン”とはどのようなものでしょうか?
最悪の事態を回避するために…万が一に備えたセキュリティ対策とは?
サイバー攻撃から自社を守る最終防衛ラインとして「AppGuard®」という新世代防御型のセキュリティ対策ツールがあります。
従来型のセキュリティ製品は、既知のマルウェアやハッキングには効果を発揮する一方で、「未知のマルウェア」や「ウイルスへの感染」に対しては効果を発揮しません。しかし、「AppGuard®」であれば、それらの新種のマルウェアや未知の脅威への対応も可能です。
その理由は、「OSの正常な動作を守る」という一貫した機能の提供にあります。OSの安全性な動作を前提としているからこそ、「未知のマルウェア」や「ウイルスへの感染」からの悪影響を防ぐことができるのです。
また、従来型のセキュリティ製品と異なり、ウイルス定義ファイルの更新・アップデートも不要です。だからこそ、業務負荷・運用の手間を増やすことなく、従業員の方の教育に必要な時間を確保することもできます。
セキュリティ・リテラシーを高める社員教育に加えて、サイバー攻撃から自社を守る「最終防衛ライン」の整備に、ぜひAppGuard®をご検討ください。
詳細を知りたい方は、下記でご覧いただけます。ぜひ、こちらもお読みください。
マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。