セキュリティ

 

【インシデントの大半は社員から】セキュリティ・リテラシーを高める社員教育5つのポイント

セキュリティ 社員研修

PCやスマートフォンのみならず、あらゆるデバイスがWebに接続される時代。サイバーセキュリティにおけるインシデント発生の多くは、従業員の不注意によって生じています。だからこそ、セキュリティ教育の重要性が高まっているわけですが、何を・どこまで教育すべきか整理できている企業は決して多くありません。

本記事では、あらゆる企業が最低限従業員に教育すべき事項をご紹介します。

社員教育で押さえたい「情報セキュリティ」の基礎

NPO日本ネットワークセキュリティ協会(JNSA)が公表した調査結果によると、サイバー攻撃による不正アクセスの原因として、およそ76%が従業員によるミス(ヒューマンエラー)とされています。これはすなわち、どれだけ優れたセキュリティの仕組みを構築しても、従業員に適切な教育を施さない限り、同じような事故が発生することを意味しています。

では、具体的にどのような教育が必要なのでしょうか?最低限教育・指導すべき事項としては、次の5つが挙げられます。

1.パスワードの管理方法

利用頻度が高いデバイスやサービスほど、日々入力を繰り返すことになる「パスワード」。「忘れてしまうと面倒だから・・・」といった理由から、同じパスワードを使い回していたり、他人から推測されやすい文字列を使っていたりする人が多いものです。

情報漏えいに直結しやすいからこそ、次の基本的なルールは全社で徹底して実践しましょう。

●英⼤⽂字⼩⽂字+数字+記号混じりで少なくとも10桁以上に設定する
●ノートなどにメモする場合には、他者に⾒られることのないよう鍵の閉まる引き出しに⼊れる
●スマートフォンやノートPCのメモアプリに暗号をかけずにパスワードを残すことは禁止する
※この他、通常のパスワードに加え、2つ以上を組み合わせる多要素認証(*1)を取り⼊れることが望ましい
(*1) 「知識情報」「所持情報」「⽣体情報」のうち、2つ以上を組み合わせる方式

2.不審なネットワークに繋がない

近年はカフェやホテルを始めとして「Free Wi-Fi」の提供が増えています。しかし、マルウェアへの感染リスクや情報漏洩リスクが高い点を踏まえると、これらに接続すること自体が極めて危険です。

気軽に接続できてしまうからこそ、「社内で承認されたネットワーク・Wi-Fi以外の利用は禁止」と繰り返し、周知することが重要です。

3.メール送信時の注意点

一斉に大量のメールを送信する場合や、初めてメールを送る相手がいる場合、「誤送信」には十分に注意が必要です。例えば、ccとbccの違いを理解せずに、イベント参加者数万人のメールアドレスが流出した事故や、メールアドレスの打ち間違えによる機密ファイルの流出事故など、例を挙げれば枚挙にいとまがありません。

従業員教育においては、「部門や職種を問わず誤送信のリスクを抱えていること」を周知しましょう。また、重要なメールを送付する前にはダブルチェックを行う、といったルールの運用も重要です。

4.フィッシング詐欺/標的型攻撃への備え

近年、Googleを始めとするメジャーなWebサービスを模倣したサイトが登場しています。そして、このようなサービスに誤ってログインし、アカウント情報が盗まれる、といった被害も増えています。このような手口を「フィッシング詐欺」と呼びます。

また、特定企業にウイルスを添付したメールを大量に送り付ける「標的型攻撃メール」も増えています。2018年に大手航空会社がこの手口によって3億円以上をだまし取られた事件は、多くの人の記憶に新しいはずです。

従業員教育を行う上では、このような手口の存在を周知した上で、次のような習慣づくりの徹底指導が必要です。

・サイトの安全性を予めチェックする癖をつける
・身に覚えのないメールは開かない

5.ソフトウェアのインストール時は要注意

最後にご紹介するのは、フリーソフトを始めとする「ソフトウェアのインストール」です。社員のなかには、「初めは警戒したけど、慣れてしまったので、便利なツールはどんどんインストールしてしまっている」という方も多いはず。しかし、フリーソフトやブラウザの無料アドオンを始めとして、昨今は悪質なソフトウェアも多く混在しています。

完全なアンインストールが難しいものも多いため、「安全性が確認されていないソフトウェアやダウンロードしない」「そもそも怪しいWebサイトにはアクセスしない」といった指導やルール作りの徹底が必要です。

外部の「情報セキュリティ」教本も活用しよう

基礎的な教育に加えて欠かせない取り組みが、業務シーン別に求められる知識のインプットです。

昨今、業務上求められるテクノロジーの知識は極めて多様化しています。だからこそ、全従業員に向けて共通の教育を行っても、網羅的にカバーすることは困難といえるでしょう。

そこで活用したいツールが、専門機関が発行している「情報セキュリティ」教本です。

例えば、IPA情報セキュリティセンターでは、業務シーン別の注意点をまとめた「情報セキュリティハンドブック」や、セキュリティ対策が必要な理由やトレンドをまとめた「情報セキュリティ読本」が公開されています。

<参考>
・IPA情報セキュリティセンター(https://www.ipa.go.jp/security/keihatsu/sme/guideline/

これらの活用に加えて、知っておきたい重要な知識があります。それは、「マルウェア等がネットワークに侵入する前」だけでなく、「マルウェア等がネットワークに侵入した後」にも効果を発揮する仕組みがある、ということです。

情報漏えいといった最悪の事態を防ぐためには、水際で被害を防ぐための仕組みが必要です。
では、例えマルウェアの侵入を許してしまったとしても機能するセキュリティ対策の”最終防衛ライン”とはどのようなものでしょうか?

最悪の事態を回避するために…万が一に備えたセキュリティ対策とは?

サイバー攻撃から自社を守る最終防衛ラインとして「AppGuard®」という新世代防御型のセキュリティ対策ツールがあります。

従来型のセキュリティ製品は、既知のマルウェアやハッキングには効果を発揮する一方で、「未知のマルウェア」や「ウイルスへの感染」に対しては効果を発揮しません。しかし、「AppGuard®」であれば、それらの新種のマルウェアや未知の脅威への対応も可能です。

その理由は、「OSの正常な動作を守る」という一貫した機能の提供にあります。OSの安全性な動作を前提としているからこそ、「未知のマルウェア」や「ウイルスへの感染」からの悪影響を防ぐことができるのです。

また、従来型のセキュリティ製品と異なり、ウイルス定義ファイルの更新・アップデートも不要です。だからこそ、業務負荷・運用の手間を増やすことなく、従業員の方の教育に必要な時間を確保することもできます。

セキュリティ・リテラシーを高める社員教育に加えて、サイバー攻撃から自社を守る「最終防衛ライン」の整備に、ぜひAppGuard®をご検討ください。
詳細を知りたい方は、下記でご覧いただけます。ぜひ、こちらもお読みください。


マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。

カタログ 製品の詳細


 

中須 寛人
この記事を監修した人
16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
大興電子通信に入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。
大興電子通信株式会社
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課
中須 寛人

関連記事

  1. セキュリティ

    内閣サイバーセキュリティセンター(NISC)のセキュリティガイドラインとは?基準を満たす対策方法

    年々巧妙化が進むサイバー攻撃から身を守るためには、正規のガイドライ…

  2. セキュリティ

    知らないとまずい!2020年のセキュリティ脅威8選

    日々進化をし続けるサイバー攻撃の脅威。2020年現在では、これまで…

  3. 感染拡大中のEmotetとは?脅威や対策など基礎知識をまるごと解説 セキュリティ

    セキュリティ

    Emotet(エモテット)とは?脅威や対策など基礎知識をまるごと解説

    デジタル時代において、さまざまなサイバー攻撃が日増しに増大する中、…

  4. WAFとは?Webセキュリティを強化するポイントを解説!

    セキュリティ

    WAFとは?Webセキュリティを強化するポイントを解説!

    近年、既存のセキュリティソリューションだけでは防ぐのが難しいほど、…

  5. 【2023年最新事例】「LockBit 3.0」と各種ランサムウェアによる被害事例

    セキュリティ 事例

    【2023年最新事例】「LockBit 3.0」と各種ランサムウェアによる被害事例

    近年、世界中で被害報告が増えているサイバー攻撃組織「LockBit…

  6. セキュリティ

    セキュリティ対策で重要なサンドボックスとは?仕組みや注意点を知ろう

    数多くの企業において、セキュリティ対策を重要な経営課題としてあげて…

お役立ち資料一覧 生産管理部門様向けホワイトペーパー 製造原価管理入門書 収益改善を図るための4つの具体的な施策と効率化に向けた改善ステップ 製造業のDX推進ガイドブック 生産管理システムによる製造業の課題解決事例集 収益改善を図るための4つの具体的な施策と効率化に向けた改善ステップ 納期遵守を実現する仕組みとは 購買・調達業務効率化」 完全ガイド~購買管理システムのベストプラクティス~ 購買管理部門様向けホワイトペーパー 購買管理のマネジメント力強化ガイドブック 購買・調達部門に贈る、コスト削減に効く3つのTIPS 購買管理システム導入による課題改善事例集 コスト削減のカギは 「集中購買」にあり! 購買管理システム導入による課題改善事例集 10分でわかるAppGuard:仕組み、セキュリティの「新概念」 セキュリティ担当者様向けホワイトペーパー サイバーセキュリティ基本まるごと解説入門 組織の情報セキュリティを強くするための対策のポイント エンドポイントセキュリティ更新時に知りたい基本の「き」 巧妙化し続けるサイバー攻撃&被害事例、セキュリティトラブルを防ぐ、最もシンプルな3つの対策 ランサムウェア対策は充分ですか?最低限知っておきたい知識と対策 「新型脅威への対処」「運用コスト削減」を両立する。セキュリティ防御構造の理想型とは? 経理業務を次のステージへ!DX導入で生まれ変わる財務会計 ペーパーレス化で給与明細書作成の負担を軽減 導入事例付き】給与明細 / 年末調整の工数・コストを削減。i-Compassとは