社員の情報セキュリティリテラシ不足と対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

社員の情報セキュリティリテラシ不足と対策

2012/12/18


 セキュリティ対策にはこれで十分という限度がなく、利便性およびコストと、対策の強度とのトレードオフで最適な落とし所を見つけなくてはならない。そのなかでクローズアップされるのが、エンドポイントでどこまで攻撃の防御や回避ができるかだ。クライアントPCに対してとれる対策は限られており、最終的にはユーザ個人のセキュリティに関する意識とリテラシがものを言う。そのレベルを高めることができれば、セキュリティ対策コストの増加を防いで利便性を保つことができるのだが…。今回は、社員の情報セキュリティ意識とリテラシの不足をどう埋めていけるのか、その方法を探る。また、特にエンドユーザの注意が必要な「標的型攻撃」の実例と対策についても考えていく。

セキュリティ

「知らない」こと、そのものがセキュリティリスクに

 かつて大ニュースとなったStuxnetによるサイバー攻撃の発端はUSBメモリだったと言われている。また現在最も注目される「標的型攻撃」の多くは、メールの中のURLをクリックさせ、不正な仕掛けを施してウイルス感染を図るWebサイトに接続させる手口だ。また日々やってくる多くのスパムメールの中には、フィッシング詐欺を仕掛けるためのWebサイトのURLが記載されている。
 こうしたセキュリティ上の脅威は、各種のセキュリティツールを利用すればある程度までは防御できる。しかし完全ではない。しかもできるだけハイレベルな防御を目指せば、それだけセキュリティの仕組みが複雑になり、導入コストもランニングコストも増大し続けることを免れない。
 最も望ましいのは、サーバ管理者はむろんのこと、PCなどクライアント端末を利用する業務部門の一般社員にセキュリティ上の脅威について認識を深めてもらい、自分自身で情報とシステムを脅威から守る対処ができるようにしてもらうことだ。継続して啓発・指導できる体制が作れれば、最もコスト効果の高い対策となりうる。
 しかし言うは易いが行うに難いのがこの対策だ。情報システム部門にとっては常識的なセキュリティ対策であっても、業務部門ではそもそも対策が必要な理由もわからなければ、対策に必要な操作も知らないという状況は珍しくない。そのギャップを補うために各種の研修の際にセキュリティ関連の知識やルールについて説明したとしても、その効果は長続きしないことも多いようだ。
 IPAが実施している「情報セキュリティの脅威に対する意識調査」(2012年度)では、一般的なセキュリティ意識の現状がよくわかる。その典型的な一例を紹介しよう。脆弱性を狙うウイルスは現在最も警戒すべき脅威だが、それに対抗する有効な手段がソフトウェアへのセキュリティパッチ適用だ。7割程度の人がWindows Updateなどによるパッチ更新を行なっているが、残りの3割近い人にパッチ更新を実施しない理由を尋ねた結果が図1だ。

図1 年代順・習熟度別 セキュリティパッチの更新を実施しない理由
図1 年代順・習熟度別 セキュリティパッチの更新を実施しない理由
※セキュリティパッチの更新を実施しない人ベース
※n=30未満は参考値とする
資料提供:IPA

 「セキュリティパッチの更新方法がわからない」という答が44.1%を占めた。これはまさにリテラシの欠如と言える。しかもPC習熟度が中級レベルで半数以上、上級レベルでも3割超の人がこのように答えている。
 またその次に多かった答が「費用がかかる」で26.0%だ。これは実はアンケートの「引っかけ項目」であって、実際にはセキュリティパッチ更新で費用がかかるケースは一般ではほとんどない。それにもかかわらずこの項目が選ばれたのは、その事実を知らないか、あるいはパッチ更新について興味がなく、なんとなくコストがかかりそうだと考えている人が多いことを示すと見てよいだろう。「メリットがわからない」「必要性を感じない」という人もかなりいる。特にPC習熟度最上級レベルの人の2割もが「必要性を感じない」と答えているのには驚く。
 こうした傾向は過去3年を振り返ってもほとんど変わりがない。この間に大きな情報漏洩事件やウイルス感染事件、サイバー攻撃事件などが報道されており、会社の情報システム部門からは脆弱性対策へのアピールがされていると考えられるのに、傾向に変わりがないことは、一般の人がいかにセキュリティに関心がないかを示しているようだ。
 同じことは、この調査例だけでなく、意識調査全体を通して見えてくる。情報セキュリティ部門は今まで以上に、セキュリティ知識の普及・啓発と、意識の向上を図る必要があるだろう。


1

セキュリティ意識とリテラシを高める取り組みとは

1-1

会社のセキュリティ対策状況のレベルを把握しよう

 セキュリティ意識とリテラシを全社で高める活動は、現状のセキュリティ対策状況を正しく把握するところから始まらなければならない。ITを統括している情報システム部門や総務部門としては、会社の現状で何が弱点なのかを判別したい。

■「5分でできる!中小企業のための情報セキュリティ自社診断」の利用

 例えば中小企業においてのセキュリティ状況の把握に有用なのが、本コーナーの9月の記事で紹介しているIPAの「5分でできる!中小企業のための情報セキュリティ自社診断」チェックリスト(PDF)だ。このチェックリストの内容はWebサイトでもチェックできる(「5分でできる!自社診断」)。これらを用いると、自社の基本的な対策として何が足りないのかが理解できる。

■「情報セキュリティ対策ベンチマーク」の利用

 また比較的規模の大きい企業では、業界内で自社がどのレベルのセキュリティを実現しているのかを客観的に評価したいニーズもあるだろう。そこで有用なのがこれもIPAの「情報セキュリティ対策ベンチマーク」だ。全46問の設問に答えると、業界内での自社のセキュリティレベルの位置づけなどの診断結果が出てくる。すでに利用件数は延べ2万4000件を超えており、豊富な基礎データを元にした客観評価が行える。30分ほどで診断が可能なので、利用をおすすめする。

セキュリティ情報局にご登録頂いた方限定で「社員の情報セキュリティリテラシ不足と対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


セキュリティ/社員の情報セキュリティリテラシ不足と対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「セキュリティ」関連情報をランダムに表示しています。

セキュリティ」関連の製品

Web Security Gateway(旧 Web Filter) 【バラクーダネットワークスジャパン】 財務統合管理システム 「Fusion」 【Profit Cube】 モバイル活用促進術――現場も驚く対応力をIT部門が手に入れる? 【ヴイエムウェア株式会社】
フィルタリング その他基幹系システム関連 リモートアクセス
コンテンツフィルタリング、アプリケーション防御、マルウェアプロテクションを1台で行える統合型ソリューション。 借入/貸付金、有価証券や社債などの財務データをグループ企業全体で一元管理。必要に応じてモジュールの段階的な導入も可能。会計システムへの仕訳出力機能も標準で実装。 解説動画:モバイルの自由度の高さも管理の楽さも手に入れるには

セキュリティ」関連の特集


ビルへの入館を制限するだけにとどまらない「入退室管理システム」。外部からの侵入を防ぐだけでなく、内部…



 どうやら、これからのIT活用、スマホ等の最先端機器はますます「使いやすく、生活に深く」入り込んでく…



ビジネスシーンにおける“脱PC”が進んでいる。その一翼を担うのが「タブレット」だが、そのターゲットは…


セキュリティ」関連のセミナー

半年前の情報はもう古い!ランサムウェア最新対策セミナー 【主催:ソフトバンク コマース&サービス/協賛:マカフィー】 締切間近 

開催日 12月9日(金)   開催地 大阪府   参加費 無料

猛威を振るい続けるランサムウェア。近年よく聞かれるようになりましたが、かなり古くから存在する攻撃手法の1つです。常に進化・変貌を重ねており、個人から大手企業まで…

エンドポイントの不安?クラウドへの嫌悪感?まるっと全部払拭! 【主催:ソフトバンク コマース&サービス/協賛:マカフィー】 注目 

開催日 12月5日(月)   開催地 東京都   参加費 無料

昨今、企業はクラウドサービス利用などIT投資が積極的に行われており、もはや競争に打ち勝つために新しいテクノロジーの活用を止めるわけにはいきません。そんな中、某広…

金融ICT カンファレンス 2016 【ナノオプト・メディア】 締切間近 

開催日 12月9日(金)   開催地 東京都   参加費 無料

Fintech 時代に求められる金融業界が取り組むべき課題改善の重要なポイントを企業の成功事例を中心に、最先端テクノロジーとソリューションを一挙解説する。■キー…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30005180


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ