JBサービス株式会社 JB Service Corporation

メール1つで大損害?
いつ発生してもおかしくない
情報漏えいを防ぐ方法とは

昨今のサイバー攻撃やテレワークなど働く環境の変化によって
発生している情報漏洩の具体的な
ケースと対応策をご紹介します。

\お役立ち資料を無料プレゼント中/
  • slider01
  • slider02
  • slider03
  • slider04

本資料の内容

  • 情報漏洩とは?
  • 情報漏えいが増加している背景
  • 情報漏えいの原因は?
  • 実際に情報漏えいが発生した場合の損害
  • 情報漏えいの発生を防ぐ対策とは
  • チェックリスト

技術的な
セキュリティ対策以外で
情報漏洩の対策をするなら

セキュリティ教育サービス

SecuLiteracyセキュリテラシー

  1. 計画策定

  2. 擬似攻撃訓練

  3. スコアリング

  4. 課題ごとの教育

  • 社員の理解度を可視化
  • 教育実施後の変化を可視化
  • 疑似攻撃訓練の実施
  • 教育対象者へのフォロー教育

社員のセキュリティ意識向上
情シス担当の負荷軽減を実現

情シス・セキュリティ担当者向けコラム

テレワーク最大の課題
「セキュリティ対策」
どの企業でも行なえる対策をご紹介します

「情報セキュリティ10大脅威 2022」ではテレワークを狙った攻撃が
4位にランクイン*

情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威2022」によると、テレワーク等のニューノーマルな働き方を狙った攻撃が4位にランクインしました。

テレワークは、新型コロナウイルス対策の一環としても普及し
ましたが、DXとして生産性向上や働き方改革としてもこの働き
方は継続していくことが考えられるため、各企業はその対応に
迫られているといえるでしょう。

テレワークにおけるセキュリティ事故の事例セキュリティ事故が起こる
原因は「人」が66.6%

イベントメール誤送信で
会員アドレス流出

A社は会員のメールアドレスが流出したことを発表しました。

発表によると、同社が運営するイベントに関する案内メールを一斉発信する際に、本来は「Bcc」形式で送信するところ「To」形式で送信してしまったというヒューマンエラーが原因とのことです。

A社は流出対象となった会員に対して連絡を取り謝罪と流出メールの削除を依頼しており、再発防止策としては、今後メール送信前の確認を徹底することと、事務局関係者への教育と管理体制の強化を実施していくと発表しています。

情報漏洩を防ぐ3要素とは?

  1. ELEMENT01 オペレーション ルールや業務プロセス・手順
  2. ELEMENT02 システム 技術的セキュリティ対策
  3. ELEMENT03 人 従業員のセキュリティリテラシー
  4. この3つの要素のうち、
    一番重要なのこそ「人」

    オペレーションを守るのは「人」であり、
    システムを動かすのもまた「人」です。

    いくら技術的な対策を行なっても、
    結局最後には「人」が起因して情報漏洩が
    起きてしまうのです。

人の脆弱性を突く
サイバー攻撃や、
ヒューマンエラーによる
情報漏洩の被害は
後を絶ちません。

従業員一人ひとりの
セキュリティに対する
意識と
リテラシーを向上
させ防御することです。

うちの会社も従業員一人ひとりのセキュリティに対する意識とリテラシーを向上させましょう!という会話のイメージ画像
情報セキュリティ教育の頻度の調査結果

「年に1回」が
45.5%で最も多く、
次いで「年に数回」が
29.5%という結果に

【全体】
情報セキュリティ教育の
実施頻度 (MA,n=495)

人は1度勉強しても
「時間が経つほど記憶
は減ってしまう」

というのが事実。

そして、新しい脅威が
どんどん発生している中で
年に1回の情報セキュリティ教育で
果たして十分と言えるのでしょうか?

セキュリティ教育に割けるリソースがないという会話のイメージ画像
セキュリティ教育の形骸化

毎年同じようなセキュリティ
教育を
実施せざるをえない
5つの要因とは

  1. 社員の理解度
    可視化していない

    • 不正な回答や社員同士の不正
    • テストが完璧≠正しい行動
    確認テストの実施だけで、社員の理解度を計測できるのでしょうか?
  2. 教育実施後の変化
    を確認していない

    • 昨対の比較
    • 部門レベルでの比較
    教育を毎年実施していく上で、過去と比較して変化がどれほどあったか確認するもの大事だよな。
  3. 実践的な教育
    取り入れていない

    • 実戦的なメール訓練内容に
      なっているか
    • 開封・クリック後の行動を
      トラッキングしているか
    最近のサイバー攻撃は巧妙だから、訓練も実践的じゃないと…
  4. 教育対象者への
    フォロー教育
    が不足

    • フォロー教育対象者の抽出
    • 理解度を深めやすいコンテンツ
    フォロー教育は重要だが小難しい資料を用意しても従業員は読んでくれないだろうしな…
  5. セキュリティ教育
    に時間を割けない

    • セキュリティ教育の実施には
      労力がかかる
    • 社員を集められるタイミングが
      限られる
    そもそも時間も余裕もない…!
  • 社員の理解度を可視化
  • 教育実施後の変化を確認
  • 実践的な教育の導入
  • 教育対象者へのフォロー教育
  • 専門家にアウトソーシング

そのすべてを実現するのが…

セキュリティ教育サービス

SecuLiteracyセキュリテラシー

社員のセキュリティ意識
向上

情シス担当の
負荷軽減を両立させる

  1. 計画策定

  2. 擬似攻撃訓練

  3. スコアリング

  4. 課題ごとの教育

セキュリティ教育サービス

SecuLiteracy
(セキュリテラシー)
4つのポイント

  1. 認定ホワイトハッカー
    による支援

    様々なサイバー攻撃のテクニック・ツール・ノウハウ等に精通した認定ホワイトハッカーが、年間のスケジュールの策定から疑似攻撃訓練内容のご提案を行います。

  2. 課題に応じた適切な教育

    スコアリングされた情報に基づき最適なトレーニングをご提案します。また、実施状況の確認や教育完了までの見届けも実施します。

  3. 充実したセキュリティ教育

    各言語に対応したトレーニングメニューを多数ご用意しています。トレーニングは、試験・動画・ゲームなど様々な形で学習することができます。

  4. KnowBe4の運用サービスは
    当社だけ

    SecuLiteracyは、ガートナー社が提供しているマジッククアドラントのセキュリティ意識向上トレーニングカテゴリーで3年連続でリーダーに認定された
    KnowBe4を活用したセキュリティ教育サービスです。

セキュリティ教育サービス

SecuLiteracy
(セキュリテラシー)
で行う
サービスの流れ

サービスの流れのイメージ画像
  1. 計画策定

    現状を測る為のテストを実施し、その結果、及び昨今の時勢も鑑みセキュリティ技術者がお客様に最適な教育プランをご提示します。

  2. 擬似攻撃訓練

    フィッシングメールやビジネス詐欺メール等の訓練メールをユーザーへ送付、添付
    ファイルの実行や URL をクリックした利用者に警告等を実施

  3. 脅威の可視化・スコアリング

    計画策定時のテスト、及び訓練メールの結果を可視化します。これにより、予め設定した部門や人の単位で結果を確認できます。

  4. セキュリティ教育

    ユーザーに対しセキュリティ教育を実施します。教育の受講状況を確認し、従業員に対してリマインドも実施します。

  1. 計画策定

    現状を測るためのテストを実施し、その結果、及び昨今の時勢も鑑み、認定ホワイトハッカーがお客様に最適な教育プランをご提示します。

    • 計画
    • 擬似攻撃訓練
    • スコアリング
    • 教育

    を一つの工程として実施

    従業員の現状を確認し、
    弱点を洗い出した上で
    年間計画を策定
    します。

    SecuLiteracy
    提供するJBサービスは
    運用センター
    SMACを運営

    24時間365日体制でのセキュリティ機器の監視・運用代行の説明文

    この認定ホワイト
    ハッカーが
    年間の
    研修スケジュールの策
    定から
    疑似攻撃
    訓練内容のご提案
    を行
    います

  2. 疑似攻撃訓練

    フィッシングメールやビジネス詐欺メール等の訓練メールを従業員へ送付、添付ファイルの実行やURLをクリックした従業員に警告等を実施します。

    トレンドを加味した
    実践的な訓練
    ができる

    実施結果は一覧で
    細かく確認ができる

  3. 脅威の可視化・スコアリング

    計画策定時のテスト、及び訓練メールの結果を可視化します。

    従業員の理解度が
    可視化
    できる

    業界ベンチマークと
    スコアの比較もでき、
    自社のレベルも
    分かる

  4. セキュリティ教育

    スコアリングされた情報に基づき最適なトレーニングをご提案します。教育の受講状況を確認し、従業員に対してリマインドも実施します。

    TRAININGE-Learning形式のコンテンツ

    ※これはイメージです

    VIDEOセキュリティをテーマにした映画などのコンテンツ

    ※これはイメージです

    各言語に対応したト
    レーニングメニュー

    トレーニングは、試験・動画・ゲームな
    様々な形で学習
    ることができる

    飽きさせない豊富な
    コンテンツで
    従業員の意欲もリテ
    ラシーもUP!

  5. レポートによるご報告

このサイクルを
繰り返すことで、
従業員一人ひとりの知識向上
を目指していきます

半年間で実施 PHASE01 計画、PHASE02 疑似攻撃訓練、PHASE03 スコアリング、PHASE04 教育、PHASE05 レポート、次のサイクル計画

社員のセキュリティ
意識向上と
情シス担当の負荷軽減を
両立させる

セキュリティ教育サービス

SecuLiteracyセキュリテラシー

  1. 計画策定

  2. 擬似攻撃訓練

  3. スコアリング

  4. 課題ごとの教育

  • 社員の理解度を可視化
  • 教育実施後の変化を可視化
  • 疑似攻撃訓練の実施
  • 教育対象者へのフォロー教育
さいごに

SecuLiteracyを提供する
JBサービスが実現したい
未来
とは

情報システム担当の方は
「セキュリティインシデントを発生させないこ
と」は
マストで考えられていることでしょう。

しかしながら、従業員に対して
情報セキュリティの教育を行うことは
基本的には守りの業務であり、
会社によっては軽視されているケースも
多く見受けられます。

私たちJBサービスは「SecuLiteracy」を
提供することによって、
セキュリティに対する意識と
リテラシーを向上させるだけではなく、
情報システム担当者が行うべきである
本来の業務に
集中できる環境づくりの
お手伝いができればと考えています。

これまでのOSI7階層の
さらに上位層を構築

  • セキュリティ意識向上層
  • アプリケーション層
  • プレゼンテーション層
  • セッション層
  • トランスポート層
  • ネットワーク層
  • データリンク層
  • 物理層
  1. 従業員のセキュリティ意識を
    定期的な訓練と教育
    より習得
  2. 社員の
    セキュリティ意識向上
    情シス担当の
    負荷軽減を両立させる
セキュリティ教育サービス

SecuLiteracyセキュリテラシー

会社概要

社名
JBサービス株式会社
(略称:JBS)
JB Service Corporation
代表者
代表取締役社長 三星 義明
設立
2007年4月2日
日本ビジネスコンピューター株式会社(現JBCC)のサービス事業部門を会社分割により分社
本社事務所
所在地
〒160-0022
東京都新宿区新宿4-2-23 新四curumu 11F
資本金
4億8千万円
事業内容
企業の情報システムに関連する導入・運用支援・機器保守などの各種
テクニカル・サービス
拠点数
サービス拠点 :43拠点、コールセンター:2拠点
株主
JBCCホールディングス株式会社 100%

※2021年4月1日現在