各社が新入社員を迎える春、様々なセキュリティのトラブルが発生しがちです。そこで改めて見直したいのが、社内の情報セキュリティ。トラブルの傾向を予め把握し、対処法のポイントを見定めることが重要です。
本記事では新入社員が起こしがちなセキュリティトラブルを紹介し、強固な情報セキュリティをどのように構築するかを解説します。
ページコンテンツ
新入社員を迎える準備はOK?
まず初めに、トラブルの大まかな傾向を把握しましょう。特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)が公開している「情報セキュリティインシデントに関する調査報告書*1」によると、個人情報漏洩などのトラブルの約半分は「紛失・置き忘れ」「誤操作」とされています。これはつまり、インシデントのほとんどが人的な過失(ヒューマンエラー)によって引き起こされたことを意味します。
*1 2018年 情報セキュリティインシデントに関する調査報告書【速報版】
こうしたデータから見ても、従業員の教育や組織としてのルールづくりが重要になることはご理解いただけるはずです。では、新入社員が起こしがちなセキュリティトラブルとしては、どのようなことが挙げられるのでしょうか。
新入社員が起こしがちなセキュリティトラブル5選
新入社員は慣れない業務や注意不足から、次のようなトラブルを起こしがちです。それぞれの概要と背景を把握しておきましょう。
私物のスマートフォンに業務で必要な情報を保存する
1つ目は、個人所有のスマートフォンにおける情報の保存です。学生時代からスマートフォンを利用してきた若い世代にとって、その存在は極めて身近なものです。しかし、個人所有であるがゆえにセキュリティ対策が十分でないことも多く、そこから重要データが流出することも考えられます。個人端末を企業のネットワークなどにアクセスするような使い方は「シャドーIT」「勝手BYOD(Bring Your Own Device)」などと呼ばれ、情報漏えいのリスクにつながっています。
使い慣れないメールでの事故
2つ目は、eメールの利用に伴うトラブルです。LINEやSNSなど、チャットベースのコミュニケーションに慣れている新入社員は、eメールの使い方や注意点を十分に把握していないと考えられます。例えば、「CC」「BCC」の使い方を誤ってしまったり、添付ファイルにパスワードを付けないまま誤送信したりするなど、顧客を巻き込んだトラブルにも直面しかねません。
近年は標的型メールといったサイバー攻撃にもeメールが使われており、それらの対策も欠かせないでしょう。不正なマクロを内包したファイルを開くだけで感染するマルウェア「Emotet」もこの一種にあたるため、eメールに関する教育次第でサイバー攻撃の被害の度合いも大きく変わってくることになります。
関連記事:標的型メール訓練はなぜやるの?目的やポイントを徹底解説!
プライベートでの情報漏えい
3つ目は、SNSにまつわるトラブルです。
前述の通り、LINEやSNSでのコミュニケーションに慣れている新入社員は、SNS経由の情報漏えいを起こすリスクも高いと考えられます。社内や業務上で撮影した写真をSNSにアップロードしてしまう、といったトラブルも発生しているため、「説明しなくても常識として知っているだろう」という油断は禁物です。
また、居酒屋や喫茶店など、社外で自社の機密情報や顧客情報を話してしまう、といった行為も避けなければなりません。特に社会に出たばかりの新卒は自分自身が携わっている仕事を他人に話したくなる、といった欲求にかられることも珍しくないからこそ、事前の教育が欠かせないのです。
許可されていないソフト・アプリのインストール
4つ目は、社内での利用を許可されていない無料アプリなどのインストールです。これは前述の「シャドーIT」の一つともいわれている行為でもあります。
例え業務を効率化する目的のツールであっても、安全性が確認されていないアプリケーションの利用には危険を伴います。中には脆弱性が含まれているものもあり、他のマルウェアの踏み台に利用される恐れもあるのです。こうした状況を回避するためにも、社内の端末へのインストール制限を設けることは必須といえます。
PC・スマホの紛失
5つ目は、ノートパソコンといった端末自体の紛失です。ノートパソコンやスマートフォン、タブレットといった機器類は、簡単に社外に持ち出すことが可能です。また、昨今は自宅に持ち帰って在宅勤務時に利用することも珍しくないでしょう。
しかし、その過程で紛失してしまうこともあります。カフェや電車内に置き忘れたり、置き引きに遭遇したりすることも考えられます。ありえないミスのように思われますが、情報セキュリティに関するインシデントの大半はヒューマンエラーによって引き起こされます。だからこそ、原則としては勤務場所以外への持ち出しは禁止しつつ、機器自体の持ち出し管理、パスワード設定の義務付けをすることが必要になります。
内部統制と教育の徹底
今回ご紹介したようなトラブルは全て基本的なものではあるものの、これらの原因によって個人情報・顧客情報を引き起こしていることが多いことも事実です。多くの企業では基本的な対策は十分講じられているはずですが、人間が仕事をしているかぎりインシデントが発生してしまう確率をゼロにすることは不可能といえるでしょう。
だからこそ求められるのが「内部統制」と「従業員教育」を徹底し、インシデントが発生する確率を少しでもゼロに近づけることです。セキュリティポリシーを具体的な社内規定として制定し、定期的に従業員に教育を施しましょう。加えて、現場の管理者は「個人所有の端末の業務利用禁止」といったルールを徹底して運用することが大切です。
最後は強固なセキュリティソフト
基本的なヒューマンエラーは前述したような対策で防止することが可能です。しかし、日々新たなセキュリティの脅威が生まれている今、高度な技術を用いたサイバー攻撃などに対応することは至難の業といえます。だからこそ、従業員教育や管理体制の強化に加えて、強固なセキュリティソフトを活用した盤石の情報セキュリティ体制を構築することがポイントになります。
大興電子通信が提供するOSプロテクト型セキュリティ製品「AppGuard®」は、WindowsOSの中枢部(OSレジストリ、システムスペース、メモリなど)を悪意ある行為から守ることを目的としたソフトウェアです。このソフトウェアでは、OSに対する不正なプロセスを監視・遮断して、正常なプロセスのみを許可することで安全な業務環境を実現します。また、許可されていないソフトのインストールを実施させないので、社内のIT統制を強化させることも可能です。
昨今は、次世代型アンチウィルス製品(NGAV)やEDR製品も普及していますが、それぞれにはカバーできない範囲も存在します。だからこそ、ヒューマンエラーへの対応策に加えて、最後の砦として「AppGuard®」が確かな力を発揮します。内閣サイバーセキュリティセンター(NISC)ガイドラインに準拠し、20年間突破されていない信頼性を誇るからこそ、新入社員が増加する時期には最適といえます。
新入社員が現場に配属される春の時期、従業員一人ひとりのITリテラシーを高めつつ、OSプロテクト型セキュリティ製品を併用して万全の体制を用意していきましょう。
新入社員を迎えるタイミングに最適!PCの正常な動作を守る「AppGuard®」
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。
