「中小企業のセキュリティ対策」と聞くと、どのようなことを思い浮かべますか?
特に最近では、Windows 10のサポート終了をきっかけに、サイバー攻撃やウィルス感染への対策を改めて意識した方も多いのではないでしょうか。
とはいえ、具体的にはいったい何をどこまで対策するべきなのかというのは、悩ましい問題ですよね。
実は、セキュリティ対策には外部からの悪意ある攻撃に備えるだけでなく、内部、即ち従業員のITリテラシーとセキュリティ意識を高める教育が有効であることをご存じでしょうか。
この記事では、高度なセキュリティシステムの陰で見落とされがちな、従業員のIT教育の重要性について、理由と手順を詳しくご説明します。
ぜひ最後まで目を通して、不安があれば今すぐにでも取り組んでみてください。
「人」が最大のセキュリティホールであることを理解する
そもそもですが、なぜ従業員へのIT教育がセキュリティ対策として重要なのでしょうか。
それは、情報漏洩やマルウェア感染といった問題は、ハッキングなど外部からの攻撃だけではなく、従業員の行いにより生じてしまうことも少なくないからです。
技術的な対策というのは、例えるなら玄関に鍵をいくつも取り付けたり、警備員を配置したりするようなもの。
しかし、いくら鍵がたくさんあっても、閉め忘れて出かけてしまえば、泥棒は簡単に侵入できます。
扉は閉めても窓が開けっぱなしだったり、あまつさえ、怪しい訪問者を自ら中に迎え入れてしまったりしたら、厳重な警備は何の役にも立ちません。
同様に企業のセキュリティも、いくら技術的な対策をしたところで、内側にいる従業員の行動がそこに穴を開けてしまっては意味がないのです。
だからこそ、どのような行為が危険で、どのような対応をすべきなのか、全従業員のITリテラシーを高めておくことが重要になります。
社内で発生しやすいセキュリティリスクとは
では、従業員がきっかけとなってしまうリスクとは、具体的にどのようなものでしょうか。
意図的に情報を売買するような不正行為もなくはないですが、たいていはミスや何気ない行いが原因になる、悪意のないものがほとんどです。
① うっかりミス・ヒューマンエラー
最も発生頻度が高く、注意が必要なケースです。
具体的には、機器の誤操作や設定ミスによる情報漏洩などが挙げられます。
- メールの誤送信:
宛先を間違えて、機密情報を含むファイルを社外の無関係な人に送ってしまう。
特にメールアドレスのオートコンプリート(自動入力)機能によるミスが多い。 - 公開範囲の設定ミス:
GoogleドライブやOneDriveなどのクラウドストレージに保存した、限定して共有すべきファイルを、「リンクを知っている全員に公開」設定にしてしまう。 - 添付ファイルの暗号化ミス:
パスワード付きZIPファイルのパスワードをメール本文に記載したり、逆に別のメールでパスワードを送るのを忘れたりして、情報管理が不完全になる(PPAP問題)。 - 社外でのデバイス紛失:
ノートPCやタブレット、業務用のスマートフォンなどをカフェや電車内に置き忘れる。
デバイスにロック(パスワード)がかかっていない場合、すぐに情報が流出する。
注意喚起だけでなく、操作や設定の完了前に確認画面を表示したり、物理的に制限をかけたりしてカバーしょう。
② 無自覚にしてしまう危険行為
ミスではなく、リスクがある行為を無自覚にしてしまっているケースです。
IT機器を使い慣れている人の方が逆に抵抗なく、あるいは良かれと思って危険な行いをしてしまう場合もあるので、PCやスマホが得意な人でも油断は禁物です。
- シャドーIT:
私的なUSBメモリやアプリ、安全性の低いWi-Fiやクラウドサービスなどを勝手に利用し、ウィルス感染や情報漏洩につながってしまう。 - 共有PCの放置:
共有で使用しているPCや端末を使用後にログアウトせず放置し、第三者に自由に操作されてしまう。 - 安易なパスワードの利用:
自分の誕生日や「123456」など、推測が容易なパスワードを設定したり、複数のサービスで同じパスワードを使い回したりする。 - システムアップデートの無視:
OSや業務ソフトのアップデート通知を無視して放置し、セキュリティの脆弱性が修正されないまま使い続ける。 - 危険なリンクのクリック:
迷惑メールや取引先などを装った詐欺メールに記載されたリンクを不用意にクリックし、マルウェア感染のきっかけを作ってしまう。
組織としてのルール整備と従業員への教育を通じて、ITリテラシーとセキュリティ意識を高めましょう。
セキュリティ対策はシステムと教育の両輪で
前述したように、このような従業員によるトラブルは、いくら優秀なシステムや対策ソフトを導入しても完全には防げません。
技術的な対策だけでは、従業員の行いそのものを変えることはできないからです。
最も有効なのは、そもそも従業員がエラーやトラブルを起こしにくくなるように会社全体を変えていくこと。
そのためには、システムによる制御だけでなく、ルール整備を伴うIT教育も必要なのです。
① 組織的なルール作りと運用
従業員へのIT教育を行うためには、まずはIT機器や機密データの取り扱いなど、セキュリティに関する基本のルールを作り、周知徹底をしておく必要があります。
- セキュリティポリシーの策定:
情報の取り扱い、デバイスの利用、パスワード管理に関する具体的なルールを明文化した「セキュリティポリシー」を作成し、全従業員に周知徹底する。 - シャドーITの制限:
業務用PCでの私的なメールやSNSの利用、無許可のクラウドサービスやWi-Fi・USBメモリなどの使用を禁止する。 - クリアデスク・クリアスクリーン:
離席時にはPCの画面をロックすること、机上には機密文書を放置しないことを徹底する。
離職者へもルールの徹底を
また、セキュリティに関するルールは離職者に対しても用意しておく必要があります。
悪意のあるなしにかかわらず、在職中に扱っていた情報を退職後に流出させてしまうケースもあるからです。
- アクセス権限の即時削除:
従業員が退職する際、最終出社日をもって、すべてのシステム(メール、クラウド、社内システム)へのアクセス権限を即座に削除・停止する。 - 機密保持誓約書:
退職時に、在職中に知り得た情報を外部に漏らさないことを再度誓約する書面を取り交わす。
ルールを知っていれば、故意に禁止された行いをする従業員はめったにいません。
事前にルールを策定・周知しておくことで、リスク行為を未然に防ぐとともに、もし仮に違反があった場合でも、組織としての立場や見解を毅然と示すことができます。
② 人材育成と意識改革(IT教育)
ルールが定まったら、それを踏まえて従業員のITリテラシーを高める教育を行います。
セキュリティリスクについての知識や感度を高めることで、ただ形式的にルールに従うのではなく、実際にリスクに遭遇した際にも適切な行動をとれるようになります。
- 定期的なセキュリティ研修:
年に1回など、定期的に全従業員向けのセキュリティ教育を実施する。
最新の実例(フィッシング詐欺やランサムウェアなど)を交えて、「なぜルールが必要か」を理解させる。 - 模擬訓練の実施:
標的型攻撃メールの訓練を行い、不審なメールに対する対応(クリックしない、上司に報告するなど)を実践的に身につけさせる。 - パスワードルールの徹底:
「使い回し禁止」「複雑なパスワードの設定」「定期的な変更」をルール化し、パスワード管理ツール(パスワードマネージャー)の利用を推奨する。
サイバー攻撃の手段は日々進化しています。すべての脅威や事例について網羅したルールを作り上げることは不可能です。
「なんだか怪しい」「危険かもしれない」という感覚を全従業員が身につけられていることが、会社やデータを守る最後の砦となるのです。
IT教育はプロにまかせてOK
中小企業にとっては、IT教育をしなくても今まで問題はなかったケースも多いかもしれません。
しかし、会社の成長や時代の変化に伴い、IT教育なしに技術だけで脅威を防ぐことは、日に日に難しくなっています。
なぜなら、今本当に恐れるべきことは、サイバー攻撃が外からセキュリティの壁を打ち壊しにかかってくることだけではなく、内側にいる人が施錠を忘れたり、時には自ら不審者に門戸を開いて招き入れたりしてしまうことだからです。
とはいえ、いちからルールを整備し、日々の業務の合間を縫って研修や教育を行うのは、中小企業にとって大きな負担でもあります。
そのようなときは、無理せずITアウトソーシングを活用しましょう。
こだまシステムの『IT戦略顧問』では、丁寧なヒアリングを通じて、ルール・マニュアルの整備から従業員への研修・訓練まで、一連のIT教育を代行・サポートしております。
IT教育に難しさや限界を感じたら、あきらめる前にぜひ『IT戦略顧問』にご相談ください。
最も身近なセキュリティ対策であるIT教育、しない手はないと思いませんか?
関連記事
