特集 情シス事情を知る
サイバー攻撃のリスクを減らす情報セキュリティ教育
2017年2月
送信元が不明なメールは開かない、業務外の怪しいWebサイトにはアクセスしない。情報セキュリティポリシーに従ってIT部門がいくらルールを定めても、従業員が守らなければ企業はサイバー攻撃の脅威にさらされることになる。ここで重要になるのがシステムとしてのセキュリティ対策とともに従業員に対する情報セキュリティ教育だ。eラーニングや社内研修などを通じて情報の取り扱い方を教育し、徹底することがセキュリティ対策の第一歩になる。
不正侵入のリスクとなるパスワードの使い回し
企業システムへのサイバー攻撃や情報流出などのセキュリティインシデントは後を絶たず、ビジネス活動のリスク要因となっている。攻撃の対象は大手企業ばかりではない。中堅・中小企業が保有する技術情報や取引情報は経営者や従業員が考える以上に攻撃者にとって価値が高いものもある。そうした情報を狙う標的型攻撃や、企業のデータを暗号化して身代金を要求するランサムウェアなどサイバー攻撃の手口も巧妙化している。
その一方、情報を守るべき企業の従業員の情報セキュリティへの意識はどうだろか。取引先を装ってマルウェアが埋め込まれたメールの添付ファイルを何の疑いもなく開いてウイルスに感染し、機密情報が盗まれるケースは少なくない。
また、攻撃者が従業員のID、パスワードを盗み取り、システムに不正侵入される被害も多い。複数のパスワードを覚えておくのは大変といった理由から、複数システムで同じパスワードを使い回すなど、従業員のパスワード管理の不備により、本人になりすまして不正侵入されるリスクもある。攻撃者に正規のID、パスワードを不正利用された場合、システム側で防御するのは難しいのが実情だ。不用意に不審なメールを開く、ID、パスワードをルーズに扱うといった情報セキュリティに対する従業員の意識の低さが企業のリスクになるのだ。
情報セキュリティ対策に欠かせない従業員の教育
情報セキュリティ対策では、システムと人の両面から対策を講じる必要がある。システムは、ファイアウォールやウイルス対策、IPS/IDS(不正侵入検知/防御)、Webフィルタリングなど、セキュリティ機器・サービスで防御する。
一方、人の対策は従業員のセキュリティ意識を高め、継続的に教育する。例えば、ノートPCやスマートデバイスなどの紛失・盗難やメール誤送信などの操作ミス、ID、パスワードの使い回しなどによるセキュリティインシデント対策では、従業員の意識改革が重要になる。システム面でいくらセキュリティを強化したり、組織として情報保護のルールを規定したりしても、ルールを厳守するかどうかは従業員一人ひとりの意識にかかわってくるからだ。
そこで、eラーニングや社内研修などを活用したセキュリティ教育がポイントになる。サイバー攻撃を受けてWebサービスの停止を余儀なくされた経験を持つある企業では、ネットワークシステムのセキュリティ対策に加え、新たに部門ごとにセキュリティ管理者を決めて定期的な研修を実施している。そして、新入社員の研修時にも情報セキュリティの保護について教育を徹底。情報保護に厳しい会社であることを入社時から周知徹底することで社員のセキュリティ意識を高め、セキュリティインシデントの再発防止に取り組んでいる。
標的型メール攻撃の被害を防ぐ研修を実施
サイバー攻撃の中でも、とくに注意が必要なのが標的型メール攻撃だ。その被害を回避するためには、日頃のセキュリティ教育・研修で従業員の注意を喚起する必要がある。ある企業では、メールやWebの取り扱いに関するeラーニングを行うほか、定期的に座学のセキュリティ研修を実施している。さらに社内で擬似的な標的型メール攻撃の研修を行い、不審なメールが届いた場合、不用意に開かないように訓練を重ねている。
だが、「ゴルフコンペの件」といったメールの主題によっては、不用意に開いてしまうゴルフ好きの管理職もいるという。攻撃者は、そうした人間の趣味や心理を突いて攻撃を仕掛けてくる。セキュリティ対策を担うIT部門は、メールの危険性を社内に通知し、セキュリティ対策を徹底する必要がある。
標的型メール攻撃の研修では、従業員全員を対象に行うほか、特に個人情報の取り扱いが多い部署を対象に実施する方法もある。研修などで標的型メール攻撃を受けた場合の対処方法を教育することで、全社でスピーディーに情報共有が行え、被害拡大を防ぐといった対策が可能になる。このようにIT部門は言葉でサイバー攻撃の脅威を伝えるだけなく、研修・教育を繰り返すことでセキュリティインシデントを減らすことも可能だ。
情報セキュリティ教育に役立つ資料の提供も
情報セキュリティ対策を組織内に浸透させるためには、役職者をはじめ、従業員の情報セキュリティ意識の向上が欠かせない。そのためには、組織の情報セキュリティ教育に必要な「情報セキュリティポリシーの周知徹底」や「情報セキュリティの脅威と対策」などについての理解が必要になる。
その具体策の一つとして、IPA(独立行政法人情報処理推進機構)では、企業の社員教育やセミナー、研修などで利用できる「情報セキュリティ読本」に準拠した教育用スライド(PDF)を用意している(IPAのホームページからダウンロードが可能)。その内容は、今日のセキュリティリスクをはじめ、情報セキュリティの基礎、マルウェアや標的型攻撃など脅威とその対策、組織としての情報セキュリティ対策、ID、パスワードやファイアウォールなどのセキュリティ技術、情報セキュリティ関連の法規と制度などとなっている。
例えば、マルウェア感染の原因や、Webページの閲覧による感染、不審な添付ファイルや迷惑メールの取り扱いに関する注意事項、標的型攻撃とその対策などについて具体的に解説されており、分かりやすい内容になっている。
また、NPO 日本ネットワークセキュリティ協会では「情報セキュリティ理解度チェック」のサイト(要ユーザー登録)を用意し、従業員のセキュリティ知識の向上を支援している。IT担当者は、自社の役職者や従業員をユーザー登録し、受講させることにより、管理画面で受講結果を把握できる。従業員の情報セキュリティ知識のレベルを把握することにより、自社に必要な対策も見えてくるはずだ。
このほか、情報セキュリティ教育に関する様々なサービスが提供されている。情報セキュリティの知識を身に付けるとともに、セキュリティ意識の向上を図り、日頃から安全管理を徹底することが、サイバー攻撃や情報漏えいなどのリスクから企業を守る第一歩になる。