この記事では、なぜセキュリティ教育が必要なのか?セキュリティ教育を実施しなかった場合に発生する事などを解説していきます。
セキュリティ教育とは
セキュリティ教育とは、従業員に対して物理・情報セキュリティのリテラシーを向上させる事を目的とした教育です。
大学や官公庁、企業、非営利活動法人など法人形態問わず、IT化やDX化が進み個人情報が漏えいするリスクが増加しています。
サイバー攻撃や組織の内部から個人情報漏えいを防止するツールは多数存在しますが、組織全体のセキュリティリテラシーが向上しなければ、これらのセキュリティツールを有効に活用できませんし、情報漏えいのリスクを下げる事はできません。
なぜセキュリティ教育が必要なのか?セキュリティ教育の必要性とは
一般的にサイバー攻撃は、攻撃者が圧倒的に有利で、防御者側が不利であり最新の攻撃手法に対抗するためには、定期的なセキュリティ教育と訓練を実施する必要があります。
また、業務上便利なツールは増加していますが、セキュリティリスクを考えずに利用している事も多くあります。例えば、アンケートやセミナー申し込みなどでグーグルフォームを利用した企業が、誤設定により回答者の情報を一般公開してしまい個人情報が漏えいしたケースは後を絶ちません。
このようなインシデントを起こさない為にもセキュリティ教育は年々重要度が増しています。
セキュリティ教育を実施しないと発生する事
以下からセキュリティ教育を実施しなかった場合に発生する事を記載しています。
機器やソフトウェアのアップデートを実施する事を軽視される
パソコンやスマートフォンは勿論の事、UTMやVPN機器、ルーターなど様々な機器では脆弱性が必ず発生しており、ソフトウェアを最新に保つ必要があります。
サイバー攻撃は既知の脆弱性を悪用した機械的な攻撃がほとんどであり、組織全体のセキュリティリテラシーが低い場合、このソフトウェアのアップデートの必要性が理解されず脆弱性が放置される可能性が高くなります。
実際、岡山県精神科医療センターや半田病院はこのソフトウェアのアップデートを長年怠り、既知の脆弱性を突いたサイバー攻撃を受け個人情報が漏えいしました。
EDRやUTMなど、基本的なセキュリティ対策ツールの導入が検討されない
サイバー攻撃は年々進化しており、それに対応するツールも導入していかなければなりません。
しかしセキュリティ教育を実施していないと、組織全体のリテラシーが向上せず最低限のセキュリティ対策ツールも導入されません。
この記事をご覧になっている方でEDRを導入していない場合は、各EDRを比較し検討してみてください。
シャドーITのリスクが発生する
会社端末で許可されていないクラウドサービスを利用したり、私用端末で会社のワークスペースへログインして業務をするシャドーITですが、セキュリティ意識が低い人間が行いがちです。
仏大手の製薬企業サノフィ株式会社が、海外の業務委託コンサルタントの私用PCへ不正アクセスが発生し、約73万人の個人情報が漏えいした可能性を発表しました。
このコンサルタントは、サノフィのITセキュリティポリシーに違反して、個人用ノートパソコンにサノフィのデータベースへのアクセスID等を保存されていました。
典型的なシャドーITであり、組織全体のセキュリティ意識を高めていかなければ、たった1名のインシデントでこのような重大な漏えい事件が発生します。
標的型攻撃メールに引っかかる
標的型攻撃メールはUTMやEDRをすり抜けて配信されてくるため、日々の訓練と「こういう攻撃がある」という認識を持っている必要があります。
以下はある医療機関へ配信された標的型攻撃メールの内容です。
画像引用元:医療書院「医療機関とサイバー攻撃」
内容に記載されている通り、公開されている情報から標的に向けてメールが配信されており、EDRを回避する為に自然にZIPファイルが添付されています。
セキュリティ意識が低いままだと、こういったメールは引っかかる可能性が非常に高くセキュリティ教育の重要性が分かる内容になります。
偽サイトに引っかかる
EDRメーカーのクラウドストライクの障害が原因で、世界的にWindows端末がブルースクリーン状態になり、その後メーカーからパッチが提供されました。
パッチが提供された瞬間に、グーグル広告やフィッシングメールなどでクラウドストライクの偽のパッチダウンロードサイトが多数観測され、様々な団体が注意喚起しました。
クラウドストライク以外にも偽のMac版のTeamsダウンロードサイトやArcブラウザの偽ダウロードサイトなど偽サイトはあの手この手で大量発生しており、セキュリティ教育を実施しこういったサイトや手口がある事を組織に浸透させていかなければ防ぐ事ができません。
サポート詐欺に引っかかる
サポート詐欺とは、ウェブサイトを閲覧中にセキュリティ広告が突然表示され、ウイルス感染したかのような嘘の画面を表示させたり、警告音を発生させるなどして、ユーザーの不安を煽り、画面に記載されたサポート窓口に電話をかけさせ、サポートの名目で金銭を騙し取しとったり、遠隔操作ソフトをインストールさせたりする手口のことを指します。
アダルトサイトや怪しいカジノサイトなどで偽の画面が表示されるイメージがありますが、読売新聞オンラインでも同媒体の広告経由でサポート詐欺へ誘導する広告が確認されており、媒体問わず表示されています。
その為、セキュリティのリテラシーを高めないと、引っかかる方が発生する可能性があります。
メール誤送信をしても社内で報告を上げない
組織体、規模問わずメールの誤送信は必ず発生します。メールを誤送信した場合は即座に、
- 上長へ報告
- 誤送信先へメール廃棄のお願い
- HPで誤送信の事実と内容を社外へ通知(場合によっては)
しなければなりません。
しかしセキュリティ教育を実施していない場合は、メール誤送信の事実が組織へ共有されず場合によっては、メール誤送信自体を気付かない可能性もあります。
メール誤送信ツールなどの基本的なツールの導入はもちろんの事、内部的な情報漏えいを即座に検知する為にもセキュリティ教育は必要になっています。
まとめ
セキュリティ教育は、組織全体の物理・情報セキュリティリテラシーを向上させ、サイバー攻撃や情報漏えいを防ぐために重要です。
IT化が進む中、セキュリティツールの導入だけではリスクを抑えられず、従業員のリテラシーが不可欠です。
定期的な教育や訓練を行わないと、機器の脆弱性の放置やシャドーITのリスク、標的型攻撃メールに対する脆弱性が高まり、結果的に個人情報漏えいや企業の信頼失墜に繋がります。