企業にとって、従業員の情報セキュリティ意識を向上させることは、もはや必須といえる時代になっています。
デジタル技術や生成AIの発展と同時に、サイバー攻撃の手法は巧妙になり、企業・組織は不正アクセスやマルウェア感染といった、多くのセキュリティリスクに晒されているからです。
このようなサイバー攻撃から自社の情報資産を守るには、従業員一人一人が正しい知識を持ち、適切な行動を取ることが重要です。
適切に従業員に情報セキュリティ意識を持ってもらえるための情報セキュリティ教育でとるべきステップがわかる資料を無料で配布しています。ぜひご活用ください。
情報セキュリティについておさらい
情報セキュリティとは、一言で言えば「情報の安全を守ること」です。
例えば、企業が「社外秘の重要な情報」「顧客の個人情報」といった情報資産を不正に利用されないように、セキュリティソフトを導入したりUPS(無停電電源装置)で災害時の停電に備えたり、普段はLAN回線につなげないスタンドアローンといった運用方法をしたり、などの施策のすべてが情報セキュリティと言えるでしょう。
より専門的な言葉を使うと「情報の機密性、完全性、可用性を確保すること」が、情報セキュリティとして定義されています。
情報の機密性、完全性、可用性については「情報管理に欠かせない!情報セキュリティ3要素の意味、7要素についても解説」で解説していますので、あわせてご覧ください。
情報セキュリティ意識の向上は企業共通の課題
先述したように、情報セキュリティ対策はすべての企業において必要であり、それに伴って従業員のセキュリティ意識向上もすべての企業・組織に共通の課題です。
中小企業庁の調査では、中小企業による情報セキュリティに関する取り組みによる効果としては、「従業員の意識向上」が50.6%で圧倒的1位で、2位の「リスク顕在化の防止」が33.0%と約20%突き放す大差がついていました。
それだけ、各企業、従業員のセキュリティ意識向上への関心が高いということが伺えます。
情報セキュリティ意識が欠如しているとどうなるか
逆に、情報セキュリティ意識が欠如していると、一体どうなってしまうのか、というところから考えましょう。
実際に起こりうること、そしてそれにより考えられる被害について紹介します。
機密情報の漏えい
情報セキュリティ意識が低いと、どれが重要な情報なのかを判断できず、きちんとした管理ができずに、悪意ある第三者にかんたんに盗まれたり、紛失して他人の手に渡ったり、ウイルス感染、不正アクセスによる攻撃で漏えいしたりすることが考えられます。
情報資産は、各々の重要度やそれにかかるリスクの頻度・影響度を総合的に判断してそれぞれに具体的な対策方法を取ることで、漏えい発生率を抑えなくてはなりません。
社会・顧客からの信用低下
情報を漏えいすると、社会や顧客からの信用が大きく低下してしまいます。
「適切に情報を管理していない組織なんだ」「この会社と取引をすると、また情報が漏えいされてしまう可能性がある」と、マイナスイメージを持たれると信頼関係が生まれません。
その結果、顧客や取引先の獲得が難しくなっていってしまいます。
PCの乗っ取り
インターネットを経由して拡散していくボットウイルスにかかると、PCを乗っ取られてしまう可能性があります。
PCの乗っ取りは、PC上のデータを抜かれるだけではなく、そのPCを経由して二次被害、すなわち組織全体に波及する可能性があります。
PCに登録されている正しい名前を使ってウイルスを添付したメールを送付して相手に開かせ、数珠つなぎにウイルスを感染させてしまう可能性があります。
金銭的被害の発生
例えば、ランサムウェアと呼ばれるマルウェアは、情報を暗号化し、その解除と引き換えに身代金(ランサム)を要求してくるものです。重要な情報資産を暗号化されてしまうと、身代金の支払いに応じてしまうかもしれません。
しかし、ランサムウェアによる攻撃者に身代金を支払っても暗号化の解除がなされない場合の方が多い、という話もあるように、身代金の支払いは得策ではありませんし、そもそもランサムウェアに感染しないための対策を取る必要があります。
情報セキュリティの意識が低いと、会社にとって甚大なダメージを生む可能性があります。
情報セキュリティを向上させる方法
ここまで、セキュリティの意識の低さによって様々な問題が起こりうることを解説しました。
では、セキュリティ意識の低さを改善するにはどのようにすればよいのでしょうか。
情報セキュリティポリシーを作成する
大前提として、まず情報セキュリティポリシーを作成しましょう。
情報セキュリティーポリシーは、どのようにして会社が情報セキュリティ対策を実施して、どんな運用をするのかを会社が定めたルールです。
情報セキュリティポリシーの内容は
- 基本方針
- 対策基準
- 実施手順
に分かれています。
基本方針、対策基準、実施手順については、以下の記事で解説しているので、是非ご覧ください。
情報セキュリティポリシーの内容については、サンプル付きでポリシー策定・運用のポイントをまとめた資料を無料で配布しています。ぜひご活用ください。
社内アカウントの管理
例えば、各部署によって業務内容は異なりますので、閲覧できるファイルや使用するツールは異なるべきです。
人事や採用担当が履歴書を見ることはできますが、それ以外の部署の人間も同様に履歴書を見ることができるアカウント管理はおかしいですよね。
権限を適切に管理したり、アクセスできる範囲を適切に管理したりすることで、不用意な情報漏えいや故意による情報流出の機会を減らすことができます。
セキュリティ対策ができるサービスを使う
サービスによっては、閲覧者や編集履歴を確認でき、誰がどのタイミングでファイルにアクセスしたかをログで残すことができるようになっているものがあります。
この場合、すぐに怪しい人物を特定でき、対外的に情報の盗難をする気を削ぐサービスを導入することも、セキュリティを向上させる一環といえます。
外部のプロにセキュリティ対策を依頼する
セキュリティ意識が低い社内では、そもそもセキュリティ対策を立案する、ないしは、脆弱性を見つけることが困難です。
そんな時は、外部のプロにセキュリティ対策を依頼してセキュリティ研修を実施してもらったり、ISMSの取得に準拠した対策を立案してもらったりしながら情報セキュリティポリシーを作成しましょう。
おすすめの情報セキュリティ研修とは
情報セキュリティ研修には、社内で実施するもしくは外部サービスを利用する方法があります。
ですが、社内で実施する場合は、担当する社員は研修カリキュラムの準備でリソースが取られてしまうという懸念や、講師としての充分な知識が不足していると正しい研修を実施できないといったデメリットがあります。
一方で外部講師を招く場合は、講師料がかかりますし、社内周知、日程調整といった連絡のリソースが必要です。
これらの問題を解決する研修方法が「eラーニング」です。
eラーニングは
- 時間調整が不要
- 研修場所が不要
- 講師の確保が不要
- 確認テストの作成が不要
- 手動による集計が不要
と、研修にかかる手間や時間を大きく削減できるのが特徴です。eラーニングを効果的に使うことにより、研修を手軽に実現できます。
LRMのセキュリティ教育クラウド「セキュリオ」はセキュリティコンサルタント監修の豊富な教材によるeラーニングがご利用でき、カスタマイズも可能です。
まずは無料ではじめましょう。
まとめ
情報セキュリティ意識について解説しました。
専門的で難しい部分もありますが、社員一人一人が正しい知識を身につけて適切な行動を取るだけでも、サイバー攻撃の被害を最小限に抑えることは十分可能です。
適切なプロセスで効率的・効果的に従業員にセキュリティ意識を持ってもらうための、セキュリティ教育の手順がわかる資料もぜひご活用ください。
