セキュリティ

/

 

【インシデントの大半は社員から】セキュリティ・リテラシーを高める社員教育5つのポイント

セキュリティ 社員研修

PCやスマートフォンのみならず、あらゆるデバイスがWebに接続される時代。サイバーセキュリティにおけるインシデント発生の多くは、従業員の不注意によって生じています。だからこそ、セキュリティ教育の重要性が高まっているわけですが、何を・どこまで教育すべきか整理できている企業は決して多くありません。

本記事では、あらゆる企業が最低限従業員に教育すべき事項をご紹介します。

社員教育で押さえたい「情報セキュリティ」の基礎

NPO日本ネットワークセキュリティ協会(JNSA)が公表した調査結果によると、サイバー攻撃による不正アクセスの原因として、およそ76%が従業員によるミス(ヒューマンエラー)とされています。これはすなわち、どれだけ優れたセキュリティの仕組みを構築しても、従業員に適切な教育を施さない限り、同じような事故が発生することを意味しています。

では、具体的にどのような教育が必要なのでしょうか?最低限教育・指導すべき事項としては、次の5つが挙げられます。

1.パスワードの管理方法

利用頻度が高いデバイスやサービスほど、日々入力を繰り返すことになる「パスワード」。「忘れてしまうと面倒だから・・・」といった理由から、同じパスワードを使い回していたり、他人から推測されやすい文字列を使っていたりする人が多いものです。

情報漏えいに直結しやすいからこそ、次の基本的なルールは全社で徹底して実践しましょう。

●英⼤⽂字⼩⽂字+数字+記号混じりで少なくとも10桁以上に設定する
●ノートなどにメモする場合には、他者に⾒られることのないよう鍵の閉まる引き出しに⼊れる
●スマートフォンやノートPCのメモアプリに暗号をかけずにパスワードを残すことは禁止する
※この他、通常のパスワードに加え、2つ以上を組み合わせる多要素認証(*1)を取り⼊れることが望ましい
(*1) 「知識情報」「所持情報」「⽣体情報」のうち、2つ以上を組み合わせる方式

2.不審なネットワークに繋がない

近年はカフェやホテルを始めとして「Free Wi-Fi」の提供が増えています。しかし、マルウェアへの感染リスクや情報漏洩リスクが高い点を踏まえると、これらに接続すること自体が極めて危険です。

気軽に接続できてしまうからこそ、「社内で承認されたネットワーク・Wi-Fi以外の利用は禁止」と繰り返し、周知することが重要です。

3.メール送信時の注意点

一斉に大量のメールを送信する場合や、初めてメールを送る相手がいる場合、「誤送信」には十分に注意が必要です。例えば、ccとbccの違いを理解せずに、イベント参加者数万人のメールアドレスが流出した事故や、メールアドレスの打ち間違えによる機密ファイルの流出事故など、例を挙げれば枚挙にいとまがありません。

従業員教育においては、「部門や職種を問わず誤送信のリスクを抱えていること」を周知しましょう。また、重要なメールを送付する前にはダブルチェックを行う、といったルールの運用も重要です。

4.フィッシング詐欺/標的型攻撃への備え

近年、Googleを始めとするメジャーなWebサービスを模倣したサイトが登場しています。そして、このようなサービスに誤ってログインし、アカウント情報が盗まれる、といった被害も増えています。このような手口を「フィッシング詐欺」と呼びます。

また、特定企業にウイルスを添付したメールを大量に送り付ける「標的型攻撃メール」も増えています。2018年に大手航空会社がこの手口によって3億円以上をだまし取られた事件は、多くの人の記憶に新しいはずです。

従業員教育を行う上では、このような手口の存在を周知した上で、次のような習慣づくりの徹底指導が必要です。

・サイトの安全性を予めチェックする癖をつける
・身に覚えのないメールは開かない

5.ソフトウェアのインストール時は要注意

最後にご紹介するのは、フリーソフトを始めとする「ソフトウェアのインストール」です。社員のなかには、「初めは警戒したけど、慣れてしまったので、便利なツールはどんどんインストールしてしまっている」という方も多いはず。しかし、フリーソフトやブラウザの無料アドオンを始めとして、昨今は悪質なソフトウェアも多く混在しています。

完全なアンインストールが難しいものも多いため、「安全性が確認されていないソフトウェアやダウンロードしない」「そもそも怪しいWebサイトにはアクセスしない」といった指導やルール作りの徹底が必要です。

外部の「情報セキュリティ」教本も活用しよう

基礎的な教育に加えて欠かせない取り組みが、業務シーン別に求められる知識のインプットです。

昨今、業務上求められるテクノロジーの知識は極めて多様化しています。だからこそ、全従業員に向けて共通の教育を行っても、網羅的にカバーすることは困難といえるでしょう。

そこで活用したいツールが、専門機関が発行している「情報セキュリティ」教本です。

例えば、IPA情報セキュリティセンターでは、業務シーン別の注意点をまとめた「情報セキュリティハンドブック」や、セキュリティ対策が必要な理由やトレンドをまとめた「情報セキュリティ読本」が公開されています。

<参考>
・IPA情報セキュリティセンター(https://www.ipa.go.jp/security/keihatsu/sme/guideline/

これらの活用に加えて、知っておきたい重要な知識があります。それは、「マルウェア等がネットワークに侵入する前」だけでなく、「マルウェア等がネットワークに侵入した後」にも効果を発揮する仕組みがある、ということです。

情報漏えいといった最悪の事態を防ぐためには、水際で被害を防ぐための仕組みが必要です。
では、例えマルウェアの侵入を許してしまったとしても機能するセキュリティ対策の”最終防衛ライン”とはどのようなものでしょうか?

最悪の事態を回避するために…万が一に備えたセキュリティ対策とは?

サイバー攻撃から自社を守る最終防衛ラインとして「AppGuard®」という新世代防御型のセキュリティ対策ツールがあります。

従来型のセキュリティ製品は、既知のマルウェアやハッキングには効果を発揮する一方で、「未知のマルウェア」や「ウイルスへの感染」に対しては効果を発揮しません。しかし、「AppGuard®」であれば、それらの新種のマルウェアや未知の脅威への対応も可能です。

その理由は、「OSの正常な動作を守る」という一貫した機能の提供にあります。OSの安全性な動作を前提としているからこそ、「未知のマルウェア」や「ウイルスへの感染」からの悪影響を防ぐことができるのです。

また、従来型のセキュリティ製品と異なり、ウイルス定義ファイルの更新・アップデートも不要です。だからこそ、業務負荷・運用の手間を増やすことなく、従業員の方の教育に必要な時間を確保することもできます。

セキュリティ・リテラシーを高める社員教育に加えて、サイバー攻撃から自社を守る「最終防衛ライン」の整備に、ぜひAppGuard®をご検討ください。
詳細を知りたい方は、下記でご覧いただけます。ぜひ、こちらもお読みください。


マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。

カタログ 製品の詳細


 

中須 寛人
この記事を監修した人
16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
大興電子通信に入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。
大興電子通信株式会社
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課
中須 寛人

関連記事

  1. セキュリティ

    バックドアはどう脅威なのか?侵入経路や感染対策について徹底解説

    悪意のある攻撃者がPCに仕掛ける攻撃のひとつに、「バックドア」を仕…

  2. セキュリティ

    【マルウェア全防御は不可能】多層防御の弱点と新しいセキュリティ対策を解説

    セキュリティ対策において多層防御は巧妙化するサイバー攻撃への対策と…

  3. セキュリティ

    もし万が一感染してしまったら?マルウェアの具体的な特徴と駆除の方法

    PCを使用するうえで気をつけたいのは、悪意をもってなんらかの被害を…

  4. テレワークのマルウェア対策、万全ですか?セキュリティチェックリストで確認!

    セキュリティ

    テレワークのマルウェア対策、万全ですか?セキュリティチェックリストで確認!

    新型コロナ対策の一環として普及したテレワークですが、オフィスでの業…

  5. 明日は自分が被害者!?メールを悪用したサイバー攻撃へのセキュリティ対策とは?

    セキュリティ

    明日は自分が被害者!?メールを悪用したサイバー攻撃へのセキュリティ対策とは?

    サイバー攻撃によるウイルス感染の原因の多くはメール経由とされていま…

  6. セキュリティ

    在宅ワークを導入する際に、注意したいセキュリティ課題まとめ

    働き方の多様化で進む、在宅ワーク/リモートワークの導入。昨今で…

人気記事ランキング

注目記事

業界別・部門から探す

業務から探す

トピックから探す

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。
APPGURD

APP GUARD