社員の情報セキュリティリテラシ不足と対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

社員の情報セキュリティリテラシ不足と対策

2012/12/18


 セキュリティ対策にはこれで十分という限度がなく、利便性およびコストと、対策の強度とのトレードオフで最適な落とし所を見つけなくてはならない。そのなかでクローズアップされるのが、エンドポイントでどこまで攻撃の防御や回避ができるかだ。クライアントPCに対してとれる対策は限られており、最終的にはユーザ個人のセキュリティに関する意識とリテラシがものを言う。そのレベルを高めることができれば、セキュリティ対策コストの増加を防いで利便性を保つことができるのだが…。今回は、社員の情報セキュリティ意識とリテラシの不足をどう埋めていけるのか、その方法を探る。また、特にエンドユーザの注意が必要な「標的型攻撃」の実例と対策についても考えていく。

セキュリティ

「知らない」こと、そのものがセキュリティリスクに

 かつて大ニュースとなったStuxnetによるサイバー攻撃の発端はUSBメモリだったと言われている。また現在最も注目される「標的型攻撃」の多くは、メールの中のURLをクリックさせ、不正な仕掛けを施してウイルス感染を図るWebサイトに接続させる手口だ。また日々やってくる多くのスパムメールの中には、フィッシング詐欺を仕掛けるためのWebサイトのURLが記載されている。
 こうしたセキュリティ上の脅威は、各種のセキュリティツールを利用すればある程度までは防御できる。しかし完全ではない。しかもできるだけハイレベルな防御を目指せば、それだけセキュリティの仕組みが複雑になり、導入コストもランニングコストも増大し続けることを免れない。
 最も望ましいのは、サーバ管理者はむろんのこと、PCなどクライアント端末を利用する業務部門の一般社員にセキュリティ上の脅威について認識を深めてもらい、自分自身で情報とシステムを脅威から守る対処ができるようにしてもらうことだ。継続して啓発・指導できる体制が作れれば、最もコスト効果の高い対策となりうる。
 しかし言うは易いが行うに難いのがこの対策だ。情報システム部門にとっては常識的なセキュリティ対策であっても、業務部門ではそもそも対策が必要な理由もわからなければ、対策に必要な操作も知らないという状況は珍しくない。そのギャップを補うために各種の研修の際にセキュリティ関連の知識やルールについて説明したとしても、その効果は長続きしないことも多いようだ。
 IPAが実施している「情報セキュリティの脅威に対する意識調査」(2012年度)では、一般的なセキュリティ意識の現状がよくわかる。その典型的な一例を紹介しよう。脆弱性を狙うウイルスは現在最も警戒すべき脅威だが、それに対抗する有効な手段がソフトウェアへのセキュリティパッチ適用だ。7割程度の人がWindows Updateなどによるパッチ更新を行なっているが、残りの3割近い人にパッチ更新を実施しない理由を尋ねた結果が図1だ。

図1 年代順・習熟度別 セキュリティパッチの更新を実施しない理由
図1 年代順・習熟度別 セキュリティパッチの更新を実施しない理由
※セキュリティパッチの更新を実施しない人ベース
※n=30未満は参考値とする
資料提供:IPA

 「セキュリティパッチの更新方法がわからない」という答が44.1%を占めた。これはまさにリテラシの欠如と言える。しかもPC習熟度が中級レベルで半数以上、上級レベルでも3割超の人がこのように答えている。
 またその次に多かった答が「費用がかかる」で26.0%だ。これは実はアンケートの「引っかけ項目」であって、実際にはセキュリティパッチ更新で費用がかかるケースは一般ではほとんどない。それにもかかわらずこの項目が選ばれたのは、その事実を知らないか、あるいはパッチ更新について興味がなく、なんとなくコストがかかりそうだと考えている人が多いことを示すと見てよいだろう。「メリットがわからない」「必要性を感じない」という人もかなりいる。特にPC習熟度最上級レベルの人の2割もが「必要性を感じない」と答えているのには驚く。
 こうした傾向は過去3年を振り返ってもほとんど変わりがない。この間に大きな情報漏洩事件やウイルス感染事件、サイバー攻撃事件などが報道されており、会社の情報システム部門からは脆弱性対策へのアピールがされていると考えられるのに、傾向に変わりがないことは、一般の人がいかにセキュリティに関心がないかを示しているようだ。
 同じことは、この調査例だけでなく、意識調査全体を通して見えてくる。情報セキュリティ部門は今まで以上に、セキュリティ知識の普及・啓発と、意識の向上を図る必要があるだろう。


1

セキュリティ意識とリテラシを高める取り組みとは

1-1

会社のセキュリティ対策状況のレベルを把握しよう

 セキュリティ意識とリテラシを全社で高める活動は、現状のセキュリティ対策状況を正しく把握するところから始まらなければならない。ITを統括している情報システム部門や総務部門としては、会社の現状で何が弱点なのかを判別したい。

■「5分でできる!中小企業のための情報セキュリティ自社診断」の利用

 例えば中小企業においてのセキュリティ状況の把握に有用なのが、本コーナーの9月の記事で紹介しているIPAの「5分でできる!中小企業のための情報セキュリティ自社診断」チェックリスト(PDF)だ。このチェックリストの内容はWebサイトでもチェックできる(「5分でできる!自社診断」)。これらを用いると、自社の基本的な対策として何が足りないのかが理解できる。

■「情報セキュリティ対策ベンチマーク」の利用

 また比較的規模の大きい企業では、業界内で自社がどのレベルのセキュリティを実現しているのかを客観的に評価したいニーズもあるだろう。そこで有用なのがこれもIPAの「情報セキュリティ対策ベンチマーク」だ。全46問の設問に答えると、業界内での自社のセキュリティレベルの位置づけなどの診断結果が出てくる。すでに利用件数は延べ2万4000件を超えており、豊富な基礎データを元にした客観評価が行える。30分ほどで診断が可能なので、利用をおすすめする。

セキュリティ情報局にご登録頂いた方限定で「社員の情報セキュリティリテラシ不足と対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


セキュリティ/社員の情報セキュリティリテラシ不足と対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「セキュリティ」関連情報をランダムに表示しています。

セキュリティ」関連の製品

働き方改革で生じるデバイスやIDの管理とセキュリティの問題を解消する方法とは 【日本マイクロソフト株式会社】 iOS向け統合セキュリティサービス 「InterSafe MobileSecurity」 【ソフトバンク コマース&サービス】 CLEARSWIFT SECURE Web Gateway 【日立ソリューションズ】
ID管理 フィルタリング WAF
働き方改革で生じるデバイスやIDの管理とセキュリティの問題を解消する方法とは 専用ブラウザ不要で、iOS端末におけるWebフィルタリングを実現するサービス。業界最高クラスの147カテゴリ、30億以上の登録Webコンテンツで高品質のフィルタリングが可能。 Webセキュリティに必要なURLフィルタリング、ウイルス対策などの機能をオールインワンで提供。

セキュリティ」関連の特集


企業内に個別に導入されてきたアプリケーション統合を実現するEAI(Enterprise Applic…



OSSは気になるけど、サポート体制や社内スキルに不安があり、導入に踏み切れない…。そんな時に頼りにな…



時代の変化に応じて様々な機能が追加され、管理対象機器の資産を管理することだけにとどまることなく、用途…


セキュリティ」関連のセミナー

【徹底解説】McAfeeの次世代エンドポイントセキュリティの全貌 【テクマトリックス/マカフィー】 注目 

開催日 4月18日(火),5月24日(水)   開催地 東京都   参加費 無料

サイバー犯罪の市場規模は今や約100兆円とも言われており、世界中で1日に数十万個のマルウェアが新たに出現しているというデータもあります。このような状況の中、被害…

ISO/IEC 27001 情報セキュリティマネジメントシステム基本コース 【BSI グループジャパン】  

開催日 4月20日(木)〜4月21日(金),7月13日(木)〜7月14日(金)   開催地 東京都   参加費 有料 8万6400円(税込み)

本コースでは、新たに情報セキュリティマネジメントシステムを学ぶ方を対象に、情報セキュリティマネジメントシステムの国際規格であるISO/IEC 27001の概要及…

改正個人情報保護法セミナー 【日本個人情報管理協会】  

開催日 5月24日(水)   開催地 静岡県   参加費 無料

5/30に個人情報保護法が改正されます。法改正に伴い、どのような点に注意しなければならないのか、また個人情報取り扱いのポイント等についてご紹介いたします。

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30005180


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ