«

»

1月 04

042情報セキュリティ意識を社内に根付かせるためには

情報セキュリティ事故を防ぐには、情報セキュリティが犯されたときのリスクと初期対応を、役員をはじめ従業員、派遣社員、アルバイトなど、会社で働く人すべてに理解させておくことが必要だ。そのためには、業務上の「心がけのうちの一つ」という意識から脱却してもらうために、これまで体験したことがないリスクをリアルにイメージしてもらうことが重要である。

□ セキュリティは個人個人の意識に根付かせたい
多くの企業、個人にとって、情報セキュリティは大事だと認識してはいても、身の回りで特段のトラブルがない日々を送るうちに、段々と意識が薄れてくるものである。この意識が破られるのは、セキュリティ事故のニュースを見たときや、実際に社内で「ウィルスに感染した」、「情報漏えいの可能性がある」というような事態が発生した時である。社内で発生した事故の被害が小さければいいが、大きな経済的損失、社会的信用失墜という事態になってもあとの祭りである。
セキュリティは社内ルールや仕組みだけでは守りきれず、日々の生活、業務をする際に、常にリスクを察知して正しい行動をとれるように関係者の意識に根付かせる必要がある。

□ セキュリティ事故のリスク
社内に根付かせるための対応を考える前に、セキュリティ事故につながるリスクを整理しておく。

(1)故意、過失による情報漏えい
→機密情報の漏えい →競争力の低下
→個人情報漏えい
→社外向けWebサイト閉鎖(売上減少)
→社会的信用失墜(売上減少)
→損害賠償、事業の停止
重要パスワードの漏えい:
→Webサイト改ざん →社会的信用失墜、サイト閉鎖
→ネットバンキング不正利用 →経済的損失

(2)コンピュータウィルス感染
→上記と同様の情報漏えい
→ウィルスのバラマキ
→(上記「個人情報漏えい」と同様)
→データ破壊、Webサイト利用不能
→社内システム停止(業務生産性低下)
→Webサイト閉鎖(営業機会損失)

(3)不正侵入、外部からの攻撃
→(上記被害のいずれか)

□ セキュリティリスクはどこにでもころがっている
一通りの対策はしていたとしても、Webサイト閲覧中に新種のウィルスに感染したり、いかにもありそうなメールから始まる標的型攻撃(*1)を受けたりすることなどは、一人一人がしっかりとリスクを意識していなければ防ぎきれない。悲しいが、これが現実である。

□ セキュリティ事故のイメージをリアルに持つことが重要
仮に上記のようなセキュリティリスクの整理を見せられても「頭での理解」にとどまり、「ピンとこない」場合も多い。人間は体験したことや、実際に見たことなど、身近なものほど「イメージで記憶」しやすいため、セキュリティ意識を根付かせるためには、「ここが危険」というポイントをイメージでつかんでもらう方法がよい。
実体験が沢山あればそれにこしたことはないが、大きなセキュリティ事故の経験などそうはない。そこで有効なのが、ビデオ学習や、社内での事故事例を使った教育である。

□ 社内の事故事例パンフレット作成
メール誤送信、FAX誤送信、ウィルス感染または駆除メッセージの表示などは社内事例も多いだろう。これらをなるべく実部署、リアルな記述で紹介できるパンフレットにまとめて、社内教育時の資料とする。
小さな会社ならば非常にイメージがしやすいだろう。

□ セキュリティ啓発ビデオ
セキュリティ啓発ビデオには、ドラマ仕立てになっていて良く出来ているものを目にするようになった。情報セキュリティは安全な生活を送るための社会基盤の一つであり、国も力を入れているので、少しずつだがコンテンツが増えている。これを社内のセキュリティ教育に使わない手はない。
現在、入手できるものには以下のようなものがある。

(1)IPAが公開する各種啓発ビデオ
こちらは希望すればCDを提供してもらえる。
http://www.ipa.go.jp/security/
また、YouTubeにもアップされている。

(2) 5分でできる!情報セキュリティポイント学習(IPA)
こちらはビデオではなくeラーニング形式で「次へ」ボタンを押していくタイプだが、カバー範囲が広く1単元5分で学習するものである。
ダウンロードして社員共有フォルダにでも格納しておき、勉強会などで利用するといいだろう。
http://www.ipa.go.jp/security/vuln/5mins_point/index.html

(3)JSNA インターネット安全教室(JSNA)
個人向けに作られているビデオである。小中学生向けもある。会社での教育にはフィットしづらい部分もあるが、社員の個人としてのたしなみとして見ておくことを推奨するのものいい。
http://www.net-anzen.go.jp/study/movie/index.html

そのほかにも公開されているものがあるかもしれないが、先ずは上記を参照していただきたい。そのほかに何か良いものがあれば教えていただけると幸いである。
(2012.5.16 執筆:山田一彦)

*1:標的型攻撃: 特定の組織、人物を狙ってニセのメールを送付し、開いた添付ファイルに情報流出させるなどの悪質なソフト(ウィルスソフトで検知されないことが多い)を仕組んでおく攻撃。2011年には日本を含む防衛産業への攻撃被害が報告されている。