情報セキュリティ10大脅威」とは、IPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は「組織編」がテーマです。

第9位 不注意による情報漏えい等の被害

概要

この脅威は非常にシンプルで、いわば「業務ミス」です。
いまさらと思うかもしれませんが、「メールの誤送信」や「PC・スマートフォンの紛失」「システムの設定ミス」などの業務ミスによる情報セキュリティ被害は今でも非常に多いです。
実際、情報セキュリティ事故の原因の半分以上が不注意がもととなっているといった調査結果もあります。

特に2020年は、コロナ禍により急遽在宅勤務を取り入れるといった企業も多く発生したのではないでしょうか。
急遽の制度導入に合わせて制度や働き方をすぐに整備することは難しいです。
結果として今年はこれまでに見られなかったような不注意などの発生にもつながりました。

対策

1. 従業者のリテラシー向上

従業者の不注意の多くは、安全な対応方法を知らなかった、大丈夫だろうと気が緩んでいたという従業者の意識に拠るところが大きいです。
つまり、従業者の意識が変わるだけでも不注意による事故の発生を抑制することができます。
定期的な従業者教育の実施や、社内ルールの周知など、従業者のリテラシーを上げるための活動を行うようにしましょう。

2. セキュリティルールの確立

従業者のリテラシー不足以外に、組織自体に明確なセキュリティルールが存在していないという可能性もあります。
その場合には、メールを送る際の手順や、外出時の情報機器取扱いルールなどを明確にすることで、従業者がルールを守ることができるようになり、事故の発生を抑制することができます。

3. ツール・セキュリティサービスの導入

もし不注意が減少しないようであれば、その脅威に対応するためのツールやサービスの導入を検討することもひとつの手段です。
例えばメールの誤送信であれば、メール送信を一時滞留するような機能を備えたサービスの利用などが考えられます。
また、情報機器の紛失が多いようであれば、データの暗号化をするような機能や、遠隔ロックをできるような機能、情報機器本体にデータを保存しないようにするためにクラウドストレージの利用などが考えられるでしょう。

まとめ

今回は「情報セキュリティ10大脅威(組織編)」の第9位をご紹介しました。

従業者の不注意は、古典的でベタなものでありながら、いつの時代も一定数発生し続けています。
一方で、不注意は組織がしっかりと対応し、従業者自身も意識を高めていくことで発生可能性を抑制しやすいものでもあります。

今一度組織のルールや教育などを見なおして、不注意の発生しない組織づくりを行ってみてはいかがでしょう。

次回は「第8位 インターネット上のサービスへの不正ログイン」をご紹介します。

情報セキュリティ10大脅威(組織編)~不注意による情報漏えい等の被害~

情報セキュリティ10大脅威」とは、IPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は「組織編」がテーマです。

第9位 不注意による情報漏えい等の被害

概要

この脅威は非常にシンプルで、いわば「業務ミス」です。
いまさらと思うかもしれませんが、「メールの誤送信」や「PC・スマートフォンの紛失」「システムの設定ミス」などの業務ミスによる情報セキュリティ被害は今でも非常に多いです。
実際、情報セキュリティ事故の原因の半分以上が不注意がもととなっているといった調査結果もあります。

特に2020年は、コロナ禍により急遽在宅勤務を取り入れるといった企業も多く発生したのではないでしょうか。
急遽の制度導入に合わせて制度や働き方をすぐに整備することは難しいです。
結果として今年はこれまでに見られなかったような不注意などの発生にもつながりました。

対策

1. 従業者のリテラシー向上

従業者の不注意の多くは、安全な対応方法を知らなかった、大丈夫だろうと気が緩んでいたという従業者の意識に拠るところが大きいです。
つまり、従業者の意識が変わるだけでも不注意による事故の発生を抑制することができます。
定期的な従業者教育の実施や、社内ルールの周知など、従業者のリテラシーを上げるための活動を行うようにしましょう。

2. セキュリティルールの確立

従業者のリテラシー不足以外に、組織自体に明確なセキュリティルールが存在していないという可能性もあります。
その場合には、メールを送る際の手順や、外出時の情報機器取扱いルールなどを明確にすることで、従業者がルールを守ることができるようになり、事故の発生を抑制することができます。

3. ツール・セキュリティサービスの導入

もし不注意が減少しないようであれば、その脅威に対応するためのツールやサービスの導入を検討することもひとつの手段です。
例えばメールの誤送信であれば、メール送信を一時滞留するような機能を備えたサービスの利用などが考えられます。
また、情報機器の紛失が多いようであれば、データの暗号化をするような機能や、遠隔ロックをできるような機能、情報機器本体にデータを保存しないようにするためにクラウドストレージの利用などが考えられるでしょう。

まとめ

今回は「情報セキュリティ10大脅威(組織編)」の第9位をご紹介しました。

従業者の不注意は、古典的でベタなものでありながら、いつの時代も一定数発生し続けています。
一方で、不注意は組織がしっかりと対応し、従業者自身も意識を高めていくことで発生可能性を抑制しやすいものでもあります。

今一度組織のルールや教育などを見なおして、不注意の発生しない組織づくりを行ってみてはいかがでしょう。

次回は「第8位 インターネット上のサービスへの不正ログイン」をご紹介します。

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする