デジ☆ブログ第27回:情報セキュリティ意識を社内に根付かせるためには

デジ☆ブログ|ITマネジメント・サポート協同組合 デジ・ブログ
, ,

概要

情報セキュリティ事故を防ぐには、情報セキュリティが犯されたときのリスクと初期対応を、役員をはじめ従業員、派遣社員、アルバイトなど、会社で働く人すべてに理解させておくことが必要だ。そのためには、業務上の「心がけのうちの一つ」という意識から脱却してもらうために、これまで体験したことがないリスクをリアルにイメージしてもらうことが重要である。

セキュリティは個人個人の意識に根付かせたい

多くの企業、個人にとって、情報セキュリティは大事だと認識してはいても、身の回りで特段のトラブルがない日々を送るうちに、段々と意識が薄れてくるものである。この意識が破られるのは、セキュリティ事故のニュースを見たときや、実際に社内で「ウィルスに感染した」、「情報漏えいの可能性がある」というような事態が発生した時である。社内で発生した事故の被害が小さければいいが、大きな経済的損失、社会的信用失墜という事態になってもあとの祭りである。

セキュリティは社内ルールや仕組みだけでは守りきれず、日々の生活、業務をする際に、常にリスクを察知して正しい行動をとれるように関係者の意識に根付かせる必要がある。

セキュリティ事故のリスク

社内に根付かせるための対応を考える前に、セキュリティ事故につながるリスクを整理しておく。

(1)故意、過失による情報漏えい

  • 機密情報の漏えい
    • 競争力の低下 → 
      • 個人情報漏えい →
        • 社外向けWebサイト閉鎖(売上減少)
        • 社会的信用失墜(売上減少)
        • 損害賠償、事業の停止
  • 重要パスワードの漏えい →
    • Webサイト改ざん →
      • 社会的信用失墜、サイト閉鎖
  • ネットバンキング不正利用 →
    • 経済的損失

(2)コンピュータウィルス感染

  • 上記と同様の情報漏えい
    • ウィルスのバラマキ
      • (上記「個人情報漏えい」と同様)
  • データ破壊、Webサイト利用不能
    • 社内システム停止(業務生産性低下)
    • Webサイト閉鎖(営業機会損失)

(3)不正侵入、外部からの攻撃

  • (上記被害のいずれか) 

セキュリティリスクはどこにでもころがっている

一通りの対策はしていたとしても、Webサイト閲覧中に新種のウィルスに感染したり、いかにもありそうなメールから始まる標的型攻撃(*1)を受けたりすることなどは、一人一人がしっかりとリスクを意識していなければ防ぎきれない。悲しいが、これが現実である。

セキュリティ事故のイメージをリアルに持つことが重要

仮に上記のようなセキュリティリスクの整理を見せられても「頭での理解」にとどまり、「ピンとこない」場合も多い。人間は体験したことや、実際に見たことなど、身近なものほど「イメージで記憶」しやすいため、セキュリティ意識を根付かせるためには、「ここが危険」というポイントをイメージでつかんでもらう方法がよい。

実体験が沢山あればそれにこしたことはないが、大きなセキュリティ事故の経験などそうはない。そこで有効なのが、ビデオ学習や、社内での事故事例を使った教育である。

社内の事故事例パンフレット作成

メール誤送信、FAX誤送信、ウィルス感染または駆除メッセージの表示などは社内事例も多いだろう。これらをなるべく実部署、リアルな記述で紹介できるパンフレットにまとめて、社内教育時の資料とする。

小さな会社ならば非常にイメージがしやすいだろう。

セキュリティ啓発ビデオ、eラーニング

セキュリティ啓発ビデオには、ドラマ仕立てになっていて良く出来ているものを目にするようになった。情報セキュリティは安全な生活を送るための社会基盤の一つであり、国も力を入れているので、少しずつだがコンテンツが増えている。これを社内のセキュリティ教育に使わない手はない。

 現在、入手できるものには以下のようなものがある。

(1)映像で知る情報セキュリティ

社内研修などでの利用を想定して、情報セキュリティ上の様々な脅威と対策をドラマなどを通じて学べる映像シリーズ。Youtubeでも公開されている。

映像で知る情報セキュリティ ~映像コンテンツ一覧~:IPA 独立行政法人 情報処理推進機構
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施
www.ipa.go.jp

(2) 5分でできる!情報セキュリティポイント学習(IPA)

こちらはビデオではなくeラーニング形式で「次へ」ボタンを押していくタイプだが、カバー範囲が広く1単元5分で学習するものである。対象者(経営者・管理者、従業員)や業種(建設業、小売業、卸売業)別にコンテンツが分かれており、取り組みやすい。

https://security-shien.ipa.go.jp/learning/
security-shien.ipa.go.jp

そのほかにも公開されているものがあるかもしれないが、先ずは上記を参照していただきたい。そのほかに何か良いものがあれば教えていただけると幸いである。

(執筆:山田一彦)

*1:標的型攻撃:特定の組織、人物を狙ってニセのメールを送付し、開いた添付ファイルに情報流出させるなどの悪質なソフト(ウィルスソフトで検知されないことが多い)を仕組んでおく攻撃。

■この記事の関連記事・関連サービス■

ISMS認証取得支援サービス
ITMSでは、JIS Q 27001:2014の要求事項を満たした情報セキュリティマネジメントシステムを構築・運用するとともに、審査機関の審査を受け認証を取得するまでの一連のプロセスをご支援します。
itms.or.jp
2019.04.21
プライバシーマーク取得支援サービス
ITMSでは、JIS Q 15001:2017の要求事項を満たす個人情報保護マネジメントシステムを構築・運用し、審査機関の審査を受け、プライバシーマークを取得するまでの一連のプロセスを支援します。
itms.or.jp
2019.04.21

ブログに関する関するご意見・ご感想はお問合せフォームよりお知らせください。

デジ☆ブログへのご意見・ご感想

お問合せ用フォーム

ITマネジメント・サポート協同組合では、DXの活用・推進にお悩みの中小企業に向け、DX計画向け解決策提示・スコアリングサービスデジ☆レシピをリリースしました。こちらもご覧ください。

『デジ☆レシピ』サービスご紹介

デジ☆レシピご紹介