パーソルグループとSky株式会社は、sightを通してエンジニアの自分らしいキャリアを応援しています

虎の巻!セキュリティ論 #01/ 現代の情報セキュリティの脅威に応じた社員教育の必要性

情報セキュリティマネジメントシステム(ISMS)などセキュリティ認証を受けている企業・団体は、少なくとも年に1回の教育(研修)を実施することが義務づけられているが、その内容は形式的なことにとどまっていることが多く、昨今の情報セキュリティの脅威を認識させるものになっているとは言い難い。今必要なのはどのような情報セキュリティ教育なのかを考察する。

f:id:sky-pca:20191009140656p:plain

何が本質的な脅威なのか適切に認識・理解する

「現代の情報セキュリティの脅威 は何か?」と問われると「標的型攻撃」「ランサムウェア」「マイニングマルウェア」などのキーワードが出てくるであろう。

これらのキーワードが真っ先に浮かぶのは、事件として報じられる際に情報セキュリティ特有の「IT用語」が使われることが多く、その攻撃の特異性や脅威をあおるかのような表現が影響し記憶に残るからであると思われる。

しかし冷静に捉えると、言葉が先行している感は否めない。その脅威が多種多様であり新たな言葉が出てくることで巧妙化していると認識し、「巧妙化するサイバー攻撃」の実情を理解しているつもりになっているという方も決して少なくはないだろう。サイバー攻撃における巧妙化とは新たな言葉が使われた攻撃が出てくることではなく、「目の前にある業務や操作を従来どおり実行することで、知らぬ間に被害に遭う可能性がある」ことである。

つまり、ワームの侵入経路が多岐にわたるなどのテクニカルな部分だけではなく、侵入されているのに気づいていないことなのである。既存の取引先からの送金依頼メールに応じて処理をしたところ、実はそれが詐欺メールであったなど、被害者側に「おかしい」と疑いを抱かせることのないその心理誘導こそがまさに巧妙化の象徴であると認識すべきではないだろうか。

日本の企業は欧米諸国に比べ業務でのメール依存度が極めて高いと言われている。そして、マルウェアの感染経路のほとんどがメールであり、ビジネス詐欺メールの標的にもなりやすい。そのため、「送信元が不明なメールは開封してはいけない」「添付ファイルやURLリンクをむやみにクリックしてはいけない」「ファイルを添付するときはファイル形式をPDFに変換する」。さらに、「暗号化して送信した後、そのパスワードは別のメールにて送信する」など、必要最低限の情報セキュリティ教育はしているだろう。

しかし、昨今の脅威に対しては、やってはいけない操作を教えるだけでは不十分であり、現代の脅威に応じたカリキュラムにて教育をする必要性に迫られているのが実情である。

 

「無知」に起因する潜在的社内リスク

筆者は新入社員や管理職などへの社員研修をなりわいにしているのだが、その経歴から研修カリキュラムに情報セキュリティを盛り込んでほしいとの要望が増加している。新入社員はスマホ世代であり、SNSで コミュニケーションをとることが当たり前になっている。そのため、配属後に自分に与えられたPCで「休憩時間だから良いだろう」との認識でSNSにアクセスし、顧客とのやりとりなど業務上の内容やそれに対する不満などを投稿してしまうことが現実に起こっている。狭義ではあるが、それは見方を変えると情報漏洩とも言える行為である。

クライアント管理ツールなどで情報の持ち出し制限をしていることはあるだろうが、数多く存在する無償のクラウドストレージサービスへのアクセス制御までは行えていない企業もあると聞く。そのために本来は持ち出し禁止のファイルを自らが利用しているクラウド上にコピー(保存)し、スマホで閲覧することが可能な状態にして業務に当たっている社員もいるらしい。

f:id:sky-pca:20191002172842p:plain

本人は、持ち出してはいけないという教育を受けているので、別の場所に保存しただけでファイルを持ち出しているのではなく、ルールは守っているという認識を持っている。これは、教育を受けたときに「記憶 媒体を利用してはいけない」「メールにファイルを添付してはいけない」など、禁止行為を教えてもらっているだけに過ぎず、本質的なセキュリティ対策の意味や意義および自らがとるべき行動がどのような責任を伴っているかを理解していないということにほかならない。まさに「リスクは社内にもあるんです。」を、実証するかのような事例である。

情報システム部門の従事者もテクニカルな部分に注力しすぎるあまり、セキュリティ対策の本質的な意味や意義を理解せずに技術的な対策を講じることが仕事だと認識しているため、セキュリティ対策の必要性を教育してほしいとの依頼も決して少なくはない。

SNSやクラウドサービスへのアクセスはツールで制御できるが、従業員の認識や理解そのものを軌道修正するツールは存在しない。適切な教育や指導にて「無知」を解消・改善しないと従業員の人数分の社内リスクを抱えることにもなりかねない。セキュリティ対策の原点に戻って、あらためて現代の情報セキュリティ 教育を実施することを強く推奨する。

第2回/働き方改革に貢献する ITソリューション~クライアント管理ツールが果たす役割と期待~

 

インフォフラッグ株式会社 代表取締役:神戸 仁

クライアント管理ツールメーカー勤務を経て、2008年にインフォフラッグ株式会社を設立。IT関連企業の新規ビジネス企画、マーケティング戦略策定等のコンサルティングを行う。また企画だけではなく実動部隊を育成する社員教育(新入社員から幹部教育)事業にも注力。その傍らで、長年従事しているITに関わる講演活動および執筆活動を精力的に行っている。