ヒヤリハットは突然に訪れます。
業務でPCやスマホの操作をしていて、別の顧客情報を誤って入力しそうになる。メールを同姓の別顧客に送信しそうになる。そんなヒヤリ、ハットする経験は多くの方にあるのではないでしょうか。
このヒヤリハットと呼ばれる体験は実は重要な示唆を含んでいます。ただ「危なかった」で済ますのではなく、次のミスを防止するのに役立てることが可能です。
本記事では、情報セキュリティにおけるヒヤリハットの事例・対処について、ハインリッヒの法則などもからめつつ解説します。情報セキュリティトラブルの発生を未然に防ぐお役にたてていただければ幸いです。
また、企業のとるべき対策がわかるセキュリティチェックシートを無料で配布しています。ぜひご活用ください。
ヒヤリハットとは
ヒヤリハットとは、大事にはならずに済んだものの、もしかしたら大事故につながったかもしれない業務上のミスのことを示します。「ヒヤリ」と冷たい汗が流れるような感覚と、大きなリスクに繋がるミスに「ハッ」とする、そんな状況は、PCやITデバイスなどの情報機器を操作するユーザーの身近に常に潜んでいます。もしかしたら情報セキュリティ上の大事故に繋がっていたかも知れない、そんな感覚にはできれば味わいたくないものです。
もともとヒヤリハットはIT、情報セキュリティと言うよりは、工事現場など、安全確認が必要なシーンにおいて利用されてきたキーワードで、人的ミスにより大きな被害につながりかねない業務において、過去から教訓を得て今後の安全性確保に向けて利用されてきました。
情報セキュリティにおいても、特に個人情報や機密情報の漏えい、マルウェアへの感染などの大きなトラブルにつながる人的ミスは起こり得えます。ヒヤリハットを蓄積・共有して未然のトラブル防止に努めるべきでしょう。
情報セキュリティ関連のヒヤリハット事例
情報セキュリティに関するヒヤリハット事例をご紹介します。どんな業務をしていても発生しやすい事例のため、ぜひ目を通してみてください。
よく利用するサービスからのメールと思って、個人情報を入力
配送業者や銀行、ECサイトなどを装ったメールは、近年のフィッシング詐欺の常套手段です。実際に心当たりのあるサービスからのメールだと、うっかりクリックしてしまいそうになります。誤ってリンクをクリックしてヒヤッとしたことがある方もいるかもしれません。
しかし、リンクをクリックしてしまえばフィッシングサイトにアクセス、個人情報が詐取されてしまうかもしれないため注意が必要です。誘導しているリンクのURLは正規のサイトか、メールの差出人は正しいか、公式に注意喚起がなされている情報と共通する内容ではないか、など、メールが正規のものであることを確認してからクリックしましょう。
メールの送信先は同姓の他社担当者
業務上のメールを送信する際に、メーラーの送信先サジェスト機能は非常に便利です。しかし、例えば同姓の他社担当者が登録されていた場合など、送るべき相手とは別の顧客向けにメールを送信しそうになってヒヤッとすることもあります。
メールの送信先については、念入りな確認が必要です。姓名およびメールアドレスのドメインまでの確認をしておきましょう。サジェスト機能を使うのではなく、過去のメールから送信先アドレスを取得してくることも有効な対策となります。
顧客を装った電話で個人情報の詐取を図る
電話の応対においても、注意が必要です。従業員の個人情報などは特に守らなければなりません。ついうっかり連絡先を応えてしまいそうになったヒヤリとするシーンが思い浮かぶ方もいるでしょう。
家族、関係者、クライアントを装った電話でも、電話相手は身分を偽っている可能性があります。連絡先などの個人情報を不用意に伝えてはいけません。まずは電話番号の確認を行い、確認が取れない場合は「本人から折り返す」旨を伝えて一度電話を切るという対応も考えられます。
社内の情報セキュリティ対策は万全のはずが
企業や組織において、各従業員や職員の利用するPCやサーバーにはウイルス対策ソフトを導入し、定期的にその更新を行っている状況は一般的です。また、外部からの侵入を防ぐためにネットワーク上にもファイアウォールなどのセキュリティ対策を取り入れている組織は多いでしょう。
しかし、それでも情報漏えいのリスクはゼロではありません。
組織内の人間や関係者がデータをUSBメモリなどで持ち出すかもしれません。あるいはPCが検知ソフトをすり抜けたマルウェアに感染し、情報を漏えいさせてしまっていることもあります。サーバーへの侵入者があるかもしれません。
ウイルス対策ソフトやファイアウォールなどの仕組み上のセキュリティ対策はもちろん必要です。それに加えて、組織でのルール作り、全関係者への情報の周知、適切な権限設定など多角的な対策を取る必要があります。また、サイバー攻撃に関しては日々新たな方法が生み出されており、過去の対策方法では対処できなくなることもあるため、知識と対策を最新のものにし続けなければなりません。
情報セキュリティ関連のヒヤリハットに対処するには
情報セキュリティに関連したヒヤリハットとその先に見える大きなトラブル、未然に防ぐための対策について紹介します。
定期的なルールの確認
情報セキュリティに関するルールは、定期的に内容を確認して最新のものにしておくことが必要となります。新たな手口に対応するための対策を取り入れ続ける必要があります。さらには、従業員などへの情報の周知、教育も必要です。
メールの送信元は本当の相手? URLは信用できる? 相手は要確認
メールからのリンク、Webサイト内のリンクをクリックする前に一度確認する習慣をつける必要があります。メールの送信元のアドレスやURL内のドメインを念入りに確認しましょう。また、見た目とリンク先が違う偽装リンクも存在するため、より慎重な行動が求められます。極端に強い誘導が行われているような場合には強く疑うべきです。
セキュリティ更新は万全に
各種OS・ソフトウェアの更新は常に最新版を適用しておきましょう。また、ウイルス対策ソフトのウイルス定義の更新も漏れることなく実施が必要です。うっかりリンクをクリックしてしまった場合でも、最悪の事態を防げる可能性があります。
インシデントの共有
組織内で起きた情報セキュリティインシデントや流行中のサイバー攻撃、被害事例などを従業員に共有する仕組み作りも対策となります。情報を知らなければ防ぎようのない攻撃もあるため、インシデント情報の共有や注意喚起はなるべく迅速かつ正確に実施しなければなりません。一方で、共有の量が多くなりすぎてしまうと情報の注目度が下がってしまうため、適切にポイントをまとめた共有が大切です。
継続的なセキュリティ教育
サイバー攻撃に関する知識、情報セキュリティに関する周知啓蒙、インシデントの情報共有などを組織的に実施する際、セキュリティ教育が有効です。コストやリソースを押さえつつ継続的に実施する方法として、eラーニングの利用がオススメです。インターネットに接続できる環境があれば、場所と時間を選ばずに利用できるため、忙しいビジネスパーソンでも効率的に学習することができます。
LRMの「セキュリオ」では、eラーニング、標的型攻撃メール訓練、毎週配信のミニテストの組み合わせで従業員のセキュリティ意識を向上させることができます。
ツールの活用も
情報セキュリティに関するヒヤリハットを防げるツールの導入も一つの対策です。IT機器の管理や不正なサイトへのアクセスの遮断、詐欺メールに対する訓練(標的型攻撃メール訓練)などツールにより防げる攻撃は、積極的にツールを活用しましょう。
情報セキュリティ関連のヒヤリハットとハインリッヒの法則
小さなヒヤリハットの裏側には重大なリスクへの可能性が隠れているということ教えてくれるのが、ハインリッヒの法則です。
ハインリッヒの法則はアメリカの損害保険会社の安全技師であったハインリッヒが発表した法則で、1つの重大なトラブルが発生する前には、29の軽度なトラブルと300のヒヤリハットが起こっているというものです。1:29:300の法則とも呼ばれます。
比率に関しては状況などによって大きく異なるでしょう。しかしながら、大きなトラブル発生のベースには、多くのヒヤリハットが存在しているということに関しては大いに参考にしなければなりません。小さなヒヤリハットの裏には大きな事故の予兆が隠れていることが考えられるため、その把握と適確な対策を迅速に実施することが大切になります。
ヒヤリハット防止にはセキュリオ
ヒヤリハットは従業員のミスや不注意から生じます。したがって、対策としては継続的に従業員のセキュリティリテラシーおよび意識を保っておく必要があります。
LRMのセキュリティ教育クラウド「セキュリオ」は、セキュリティeラーニング機能、標的型攻撃メール訓練機能、ミニテストを毎週配信できるセキュリティアウェアネス機能で継続的に従業員のセキュリティリテラシー・意識を向上・維持できます。
まずは無料ではじめましょう。
まとめ
重大な事故には至らないまでもその予兆を感じさせるヒヤリハット事例は、情報セキュリティにおいても重視し、対策することが必要です。現在の組織に求められる情報セキュリティ対策は広範に渡っており、インシデントの発生も様々なケースがありえます。セキュリオなどのツールにより、インシデントの共有やセキュリティ教育を実施し、ヒヤリハットを大きなトラブルにつなげない未然の防止策が必須です。
また、まずは企業で必要なセキュリティ対策を一覧で確認しましょう。