ランサムウェアの脅威やサイバー犯罪の多様化が進む中、企業はセキュリティ対策を強化する一方で、内部からの情報漏洩が増加している現実に直面しています。
中小企業においても、外部からの攻撃だけでなく、社内からの情報流出が深刻な問題となっているのです。
組織が自社の重要情報を確実に守るためには、情報システム部門の努力だけでなく、全従業員のセキュリティリテラシー向上が不可欠です。
本記事では、セキュリティリテラシーと情報セキュリティ教育についてご説明します。
セキュリティリテラシーを知る
セキュリティリテラシーとは
セキュリティリテラシー(Security literacy)とは、インターネットやデジタル技術を、安全に活用するために必要な知識や理解力のことです。技術的な知識だけでなく、日常的なインターネットの利用における正しい行動態度や意識の重要性も含んでいます。
そのため、企業がセキュリティリスクに適切に対処し、情報やデジタル資産を守るための基盤となります。
セキュリティリテラシーの具体例
令和のビジネスパーソンとして、最低限身に着けておきたいセキュリティリテラシーは以下のようなものです。【令和のビジネスパーソンのセキュリティリテラシー】
これらのセキュリティリテラシーを身につけることで、サイバー攻撃や情報漏洩などからのリスクを最小限に抑えることが可能となります。
このコラムの後半でセキュリティリテラシーの「身に着け方」をご案内いたします。
コラム:ソーシャルエンジニアリングとは
ソーシャルエンジニアリング(Social Engineering)とは、技術的な手法を使わずに人間の心理や行動のミス、社会的特性を操って情報を取得したり、不正アクセスを試みる犯罪手法のことです。具体的には、以下のような方法があります。
■電話を利用したフィッシング
信頼できる機関(銀行や社内サポートなど)の担当者を装い、電話で個人情報やパスワードを詐取する手法です。被害者を緊急事態であると思い込ませ、早急に情報を提供させることで攻撃を行います。
■偽のメールによる攻撃
取引先や、大手サービスを装いメールやSMS、SNSのダイレクトメッセージを送信し、銀行やオンラインサービスのログイン情報やクレジットカード情報などを要求する手法です。リンクをクリックさせて偽のログインページに誘導することもあります。
■ソーシャルメディアを利用した情報収集
攻撃者がターゲットのソーシャルメディアプロフィールを調査し、プライベートな情報やセキュリティ質問の答えを得ることで、アカウントを乗っ取る手法です。
■偽のコンテンツ
パスワードの共有、テクニカル サポートへの電話、ソフトウェアのダウンロードといった、信頼できる存在に対してのみ取る行動にユーザーを誘い込むコンテンツを指します。デバイスのソフトウェアが古いなどと偽って望ましくないソフトウェアをインストールさせようとする広告も含まれます。気付かないうちに攻撃に利用されている場合も少なくありません。
■トラッシング
社員として入社したり、清掃員などに変装し、ターゲットの建物に侵入して廃棄書類や廃棄HDDなどのゴミや廃棄物をあさり、情報を盗みます。
いわゆるオレオレ詐欺とな異なり、ソーシャルエンジニアリングは主に情報収集や不正アクセスを目的とした攻撃手法であり、技術的な手法を使わずに人間の信頼や心理を利用します。一方、オレオレ詐欺は特定の個人を騙し取ることを目的とし、対象者に対して直接的な連絡手段を使って誤解を招き金銭を詐取することが主な目的です。
セキュリティリテラシーが低いと何がおきる?
組織のセキュリティリテラシーが低い場合、以下のような問題が発生する可能性があります。1. セキュリティインシデントの増加
従業員のセキュリティリスクや脅威に対する認識が不足しているため、メール誤送信やデバイスの紛失、アカウントの乗っ取り、SNSの炎上等が頻繁に発生し、インシデント発生リスクが高まり、いつデータ流出や情報漏洩などの大事故が起きてもおかしくない日常となります。2. システムへの侵入
フィッシング詐欺やマルウェア感染などの攻撃に対する警戒心が低いため、ソーシャルエンジニアリングなどを利用して、攻撃者が社内システムやクラウドサービスにアクセスしたり、内部情報を入手したりすることが容易になる可能性があります。3. 組織全体の信頼性の低下
顧客情報や営業機密情報等の漏洩により組織全体の信頼性が低下し、顧客や取引先からの信頼を失う可能性 があります。4. コストの増加
セキュリティインシデントや情報漏洩の発生に伴う調査、修復、および対策の費用が増加することがあります。また、場合によっては、個人情報保護法への対応が不十分であるとして罰則の対象になる可能性や、民事上の損害賠償責任が発生する可能性 もあります。
セキュリティリテラシーの低さは、組織にとって深刻なセキュリティリスクを引き起こし、直接的または間接的に多くの問題や損失を招く可能性があります。
外部からのサイバー攻撃に対抗するためには、強固なアクセス制御やネットワークセキュリティの強化が不可欠ですが、外部対策だけでは情報流出の完全な防御が困難です。
従業員のの誤操作や知識の欠如により、セキュリティを脆弱にする可能性があります。
セキュリティリテラシー向上の具体的な取り組み
それでは従業員のセキュリティ意識を高めるには、どのような取り組みが必要でしょうか。1.セキュリティポリシーと手順の整備
セキュリティポリシーや手順を明確にし、従業員が遵守しやすい環境を整えます。例えば適切な顧客情報管理、アカウント管理、パスワード管理やファイル共有のルール、デバイスの利用手順を策定し、定期的に従業員に周知徹底することが必要です。
また、定期的に管轄ごとにインシデント発生時の初期行動を確認しておきましょう。
2. 教育と研修・トレーニング
定期的にセキュリティトレーニングや研修プログラムを導入し、従業員が最新のセキュリティ脅威や対策方法を理解することが重要です。特に具体的な事例やシミュレーションを使った訓練を行うことで、リアルな状況に対する対応力を向上させます。
3. 文化の醸成
組織全体でセキュリティ意識が共有されるような文化を醸成することが重要です。マネージャー、リーダークラスからの支援や、従業員の間での情報共有がセキュリティを重要視する風土を育むのに役立ちます。
4. 技術的なサポート
企業内部で使用される技術ツールやシステムにおいても、セキュリティを強化するための技術的なサポートが必要です。例えば、マルウェア対策ソフトウェアやファイアウォールの設定、アクセス制御などは個人任せにせず正しい設定方法を周知させましょう。
5. サイバー保険の活用
サイバー攻撃に遭ってしまったり、社内のミスで情報漏洩を起こしてしまった等のサイバー事故の際に、サイバー保険に加入しておくことで保険金の支払いがされます。実はそれだけではなく、保険会社がリスク管理の一環としてセキュリティ対策情報を無料提供してくれたり、いざという時にインシデント発生時の迅速な対応や、データの復旧、顧客やステークホルダーへの対応などを支援してくれます。
また、標的型メール訓練サービス(標的型攻撃の手口をまねた訓練メールサービス)が無料の付帯サービスとしてついているケースが多いのもポイントです。
(いずれも保険会社やプランにより異なります。詳しくは弊社までお問合せください。)
ファーストプレイスで行っている取り組み
当社ファーストプレイスでは、定例会議の最後の30分を使い、コンプライアンス&セキュリティ対策の一環として下記のような取り組みを行っています。この取り組みは、参加者が実際のサイバー事故やインシデントを題材にして、具体的な対策を考えることで、セキュリティリテラシーを向上させることを目的としています。
1. ニュースを元にお題を出す(5分)
ファシリテーターがお題として、実際の最新のサイバー事故のニュースを取り上げます。
例えば「学校教諭gmailでなくgmeilに誤送信」や「悪質な無料Wi-Fiに接続し情報漏洩」のようなニュースを紹介し、それにに対し「なぜ事故が起きたか」「どのようにして事故を防ぐことができたか?」などのお題を発表します。
2. まずは個人で考える(10分)
各メンバーは5~6名のグループに分かれ席に着き、与えられたお題について10分間で個人的に考え、その事故が起きた原因や、防げた可能性などを、付箋に書いていきます。
付箋は何枚使ってもOKで、思いつく限り出していきます。
技術的な対策、組織的な改善点、個人の行動の課題などのアイデアを付箋に書きだします。
3. グループ内で発表し考えを深める(10分)
各グループメンバーが自分の考えた対策を発表し合います。
聞き手側のメンバーは発表者を否定せず、最後まで発表を聞き、質問を通じて議論を深めます。
他のメンバーが発表したことを受けて、また新たな対策を思いついた人は追加で発表してもOKです。
より多角的な洞察を得ることができます。
その後、グループの一人がグループのまとめ役となり、これらの様々な対策をまとめます。
4. 他のチームに共有(5~10分)
全員で集合し、各グループのまとめ役がまとめた対策を全体へ共有します。
これにより、新しい視点やアイデアを得ることができ、より包括的なセキュリティ対策の理解が促進されます。
このような取り組みは、座学やオンライン学習とは異なり、 参加者が実際のケーススタディを通じてセキュリティ対策に関する深い理解を得ることができます。また、定期的に行うことで常に最新のサイバー攻撃や社内での事故に対する対応力を磨き、組織全体のセキュリティ意識を高めることができます。
参加者は自ら考え、学び、チームとして協力することで、より強固なセキュリティ体制の構築することができます。
当社ファーストプレイスではこのような、インタラクティブな研修やコンサルティングも行っております。 ご興味のある方は、こちらからお問合せください。
▼ファーストプレイス 企業向けコンサルティング&研修
まとめとサイバー保険
従業員のセキュリティリテラシー向上は、企業のサイバーセキュリティ戦略において重要な要素です。従業員がセキュリティに関するリスクや対処方法を理解し、積極的に対策に参加することで、企業の情報資産を効果的に保護することができます。
セキュリティリテラシーを上げよう!というスローガンだけではリテラシーは向上しません。
経営層と従業員が一体となって取り組むことで、より強固なセキュリティ体制を築くことができるのではないでしょうか。
当サイトの運営会社ファーストプレイスでは、サイバー保険・個人情報漏洩保険のプロが貴社にあった最善のプランをご提案いたします。また、サイバー保険を選ぶ際は、大手保険会社の中で比較、検討することをおすすめするため、ぜひ一括見積を行ってみてください。
サイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較いたします。
【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社
ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。