特集 情シス事情を知る
サイバー攻撃のリスクを減らす情報セキュリティ教育
2024年7月
はじめに
送信元が不明なメールは開かない、業務外の怪しいWebサイトにはアクセスしない。情報セキュリティポリシーに従ってIT部門がいくらルールを定めても、従業員が守らなければ企業はサイバー攻撃の脅威にさらされることになる。ここで重要になるのがシステムとしてのセキュリティ対策とともに従業員に対する情報セキュリティ教育だ。eラーニングや社内研修などを通じて情報の取り扱い方を教育し、徹底することがセキュリティ対策の第一歩になる。
不正侵入のリスクとなるパスワードの使い回し
企業システムへのサイバー攻撃や情報流出などのセキュリティインシデントは後を絶たず、ビジネス活動のリスク要因となっている。攻撃の対象は大手企業ばかりではない。中堅・中小企業が保有する技術情報や取引情報は経営者や従業員が考える以上に攻撃者にとって価値が高いものもある。そうした情報を狙う標的型攻撃や、ランサムウェアなどサイバー攻撃の手口も巧妙化している。
その一方、情報を守るべき企業の従業員の情報セキュリティへの意識はどうだろか。取引先を装ってマルウェアが埋め込まれたメールの添付ファイルを何の疑いもなく開いてウイルスに感染し、機密情報が盗まれるケースは少なくない。
また、攻撃者が従業員のID、パスワードを盗み取り、システムに不正侵入される被害も多い。複数のパスワードを覚えておくのは大変といった理由から、複数システムで同じパスワードを使い回すなど、従業員のパスワード管理の不備により、本人になりすまして不正侵入されるリスクもある。攻撃者に正規のID、パスワードを不正利用された場合、システム側で防御するのは難しいのが実情だ。不用意に不審なメールを開く、ID、パスワードをルーズに扱うといった情報セキュリティに対する従業員の意識の低さが企業のリスクになるのだ。
情報セキュリティ対策に欠かせない従業員の教育
情報セキュリティ対策では、システムと人の両面から対策を講じる必要がある。システムは、脆弱性対策やメールセキュリティ、エンドポイント対策、Webフィルタリング、アクセス管理など、セキュリティ機器・サービスで防御する。
一方、人の対策は従業員のセキュリティ意識を高め、継続的に教育する。例えば、ノートPCやスマートデバイスなどの紛失・盗難やメール誤送信などの操作ミス、ID、パスワードの使い回しなどによるセキュリティインシデント対策では、従業員の意識改革が重要になる。システム面でいくらセキュリティを強化したり、組織として情報保護のルールを規定したりしても、ルールを厳守するかどうかは従業員一人ひとりの意識にかかわってくるからだ。
そこで、eラーニングや社内研修などを活用したセキュリティ教育がポイントになる。サイバー攻撃を受けてWebサービスの停止を余儀なくされた経験を持つある企業では、ネットワークシステムのセキュリティ対策に加え、新たに部門ごとにセキュリティ管理者を決めて定期的な研修を実施している。そして、新入社員の研修時にも情報セキュリティの保護について教育を徹底。情報保護に厳しい会社であることを入社時から周知徹底することで社員のセキュリティ意識を高め、セキュリティインシデントの再発防止に取り組んでいる。
セキュリティ アウェアネス向上に有効な疑似体験
従業員教育は情報セキュリティ対策として有効だが、いざと言う時に教育で得た知識を使いこなすことができなければ、インシデントの発生を防ぐことができない。発生を防ぐには問題に気づき、適切な対応を意識(アウェアネス)できるようになることが必要である。
近年増加している特殊詐欺を例に挙げると、知識としてはすでにそのようなものがあるのは認識している状態だが、実際に遭遇すると焦りからお金を振り込んでしまい、事件となるケースが後を絶たない。このような時に「不審なので確認しよう」という気づき、意識があればその発生を防ぐことができる。
セキュリティ意識を向上させるための教育として、疑似的な標的型攻撃メールを社内に送信する標的型メール訓練を定期的に実施することが効果的である。
標的型メールは、従業員全員を対象に行うほか、特に個人情報の取り扱いが多い部署を対象に実施する方法もある。研修などで標的型メール攻撃を受けた場合の対処方法を教育することで、全社でスピーディーに情報共有が行え、被害拡大を防ぐといった対策が可能になる。このようにIT部門は言葉でサイバー攻撃の脅威を伝えるだけなく、研修・教育を繰り返すことでセキュリティインシデントを減らすことも可能だ。
情報セキュリティ教育に役立つ資料の提供も
情報セキュリティ対策を組織内に浸透させるためには、役職者をはじめ、従業員の情報セキュリティ意識の向上が欠かせない。そのためには、組織の情報セキュリティ教育に必要な「情報セキュリティポリシーの周知徹底」や「情報セキュリティの脅威と対策」などについての理解が必要になる。
その具体策の一つとして、IPA(独立行政法人情報処理推進機構)では、企業の社員教育やセミナー、研修などで利用できる「情報セキュリティ読本」に準拠した教育用スライド(PDF)を用意している(IPAのホームページからダウンロードが可能)。その内容は、今日のセキュリティリスクをはじめ、情報セキュリティの基礎、マルウェアや標的型攻撃など脅威とその対策、組織としての情報セキュリティ対策、情報セキュリティ関連の法規と制度などとなっている。
例えば、マルウェア感染の原因や、Webページの閲覧による感染、不審な添付ファイルや迷惑メールの取り扱いに関する注意事項、標的型攻撃とその対策などについて具体的に解説されており、わかりやすい内容になっている。
また、NPO 日本ネットワークセキュリティ協会では「情報セキュリティ理解度チェック」のサイト(要ユーザー登録)を用意し、従業員のセキュリティ知識の向上を支援している。IT担当者は、自社の役職者や従業員をユーザー登録し、受講させることにより、管理画面で受講結果を把握できる。従業員の情報セキュリティ知識のレベルを把握することにより、自社に必要な対策も見えてくるはずだ。
このほか、情報セキュリティ教育に関する様々なサービスが提供されている。情報セキュリティの知識を身に付けるとともに、セキュリティ意識の向上を図り、日頃から安全管理を徹底することが、サイバー攻撃や情報漏えいなどのリスクから企業を守る第一歩になる。
セキュリティ対策(従業員・職員の意識向上へ)―お役立ち情報をご覧いただけます
ランサムウェア対策ガイドブック電子版[2024年版]
ガイドブックでは、ランサムウェアから組織を守る多層防御による7つの対策、被害を防ぐ効果の高い4つのポイント、対策ソリューションなどを解説しています。
※ガイドブックの10ページ目に、疑似標的型攻撃メールで従業員・職員の意識向上を図る「メル訓クラウド」をご紹介しています。