<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-MZLZR25" height="0" width="0" style="display:none;visibility:hidden"></iframe>

企業に求められる情報セキュリティ教育とは

セキュリティの脅威は日々進化していき、またテレワークの導入などによりセキュリティについて見直しが行われています。しかし、情報セキュリティ対策として見落としがちなのが、社員に対する情報セキュリティ教育です。

そこで今回は、企業に求められる情報セキュリティ教育についてご紹介します。

情報セキュリティ対策の必要性

これまでにセキュリティ被害に遭ったことがないとすると、情報セキュリティの必要性を感じにくいかもしれません。特に中小企業の場合は、事業投資や営業活動を優先してしまっていることが多いのではないでしょうか。


ここでは、情報セキュリティの必要性についてご紹介します。

セキュリティの脅威について

セキュリティの脅威には、人的脅威・技術的脅威・物理的脅威があります。

人的脅威とは、人が関わるリスクのことです。例えば、操作を誤ってデータを消してしまう、機密情報などが入ったパソコンや書類などを持ち出し紛失または盗難に遭うことが当てはまります。

技術的脅威とは、プログラムが介する脅威のことで、フィッシングサイトやウイルスによる標的型攻撃などが分類されます。

物理的脅威は、物理的に破損・妨害されることです。地震や台風などの災害や機器の劣化などにより、データやシステムが破損することを指します。

脅威の上位は標的型・メールに関するものが多い

組織で多くの被害に遭っているセキュリティの脅威は、標的型攻撃やビジネスメール詐欺による金銭被害、ランサムウェアによる被害です。中でも、企業サイトを装ったフィッシングサイトよるインシデントが多いとされています。

メールによる詐欺でも、実際にある企業名を名乗りメールを開かせ、記載されたフィッシングサイトへ誘導したり、添付ファイルを開かせたりなど人の脆弱性を狙ったリスクが増えてきています。

取引先や経営者を名乗り、ビジネスメールを装って金銭を要求する巧妙な手口が増えていて、セキュリティシステムを通り抜けられてしまいます。詐欺であることに気づかないように作られているため、よく確認せずに対応してしまう恐れがあります。

組織で気を付けなければいけないセキュリティの脅威として、このような「人の脆弱性」を狙った被害が挙げられます。

情報セキュリティ対策の方法

では、情報セキュリティ対策は、どのようにして行うのでしょうか。

セキュリティソフトによる対策

情報セキュリティを守るには、まずはセキュリティソフトを導入し、外部からの攻撃を避ける必要があります。しかし、メールに貼付されたファイルやURLをクリックしてしまうなど、人に起因するリスクはセキュリティソフトだけでは防ぐことができません。

合わせてセキュリティ教育が必要

人の脆弱性を狙った攻撃から情報を守るためには、「セキュリティ教育」を行うことが大切です。従業員一人ひとりのセキュリティ意識を向上させ、怪しいメールやサイトに対して対処できるようにセキュリティ教育を受けます。

情報セキュリティ教育の進め方

情報セキュリティ対策の1つとして挙げられた「情報セキュリティ教育」。どのようにして、社員にセキュリティ意識を持たせるのでしょうか。

社内教育の実施

さまざまな情報を取り扱うことが日常的であるがために、管理の意識がつい疎かになってしまいます。そのため、社内教育にて情報セキュリティポリシーや起こりうる脅威、脅威への対策などを徹底的に周知します。

従業員に対して、繰り返しセキュリティの重要性について意識付けをしていきましょう。

疑似攻撃訓練

社内教育にて、情報セキュリティについて周知したら、知識や判断力が身についているか訓練を行い確認します。

訓練では、サイバー攻撃者に扮した技術者が対象である従業員に対して疑似の標的型攻撃メールを送ります。従業員が、疑似メールに添付されたファイルを開いたりURLをクリックした場合は、訓練であることを明かす警告ページへと誘導するなどします。

疑似攻撃を体験することにより、メールによる攻撃への判断能力と知識を身につけることができ、セキュリティリテラシーをより向上させることができるのです。

可視化と分析

訓練で行った、疑似攻撃型メールの開封率の結果を可視化します。結果を可視化させることで、利用ユーザーが、フィッシング詐欺などの標的となる可能性を分析することができます。

しかし、結果を可視化させるだけでは、脅威に対して十分に対処できるようになるわけではありません。

訓練での結果をもとに、身に付けなればいけない知識や技能などを把握し、さらにトレーニングを進めていきます。繰り返し訓練を行い、標的型攻撃メールへの対応と判断を身につけることが重要です。

まとめ

今回は、企業に求められている情報セキュリティ教育についてご紹介しました。

近年、メールを開かせてURLのクリックやファイルの開封を促し情報を窃取する被害が増えてきています。こうした人の脆弱性を狙った攻撃から、企業の情報資産を守るには、セキュリティソフトの導入だけではなく従業員のセキュリティ教育が大切です。

関連サービス
セキュリティ教育サービスSecuLiteracy(セキュリテラシー)

セキュリティ教育サービスSecuLiteracy(セキュリテラシー)

見逃しがちなセキュリティ対策といえば従業員に対するセキュリティ教育です。SecuLiteracy(セキュリテラシー)とは、様々なサイバー攻撃のテクニック・ツール・ノウハウ等に精通した認定ホワイトハッカーがご支援するセキュリティ教育サービスです。企業・組織のセキュリティレベルの向上・可視化を実現したい企業・組織の方々にお勧めしたいサービスです。

詳しく »