社員の情報セキュリティリテラシ不足と対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

社員の情報セキュリティリテラシ不足と対策

2012/12/18


 セキュリティ対策にはこれで十分という限度がなく、利便性およびコストと、対策の強度とのトレードオフで最適な落とし所を見つけなくてはならない。そのなかでクローズアップされるのが、エンドポイントでどこまで攻撃の防御や回避ができるかだ。クライアントPCに対してとれる対策は限られており、最終的にはユーザ個人のセキュリティに関する意識とリテラシがものを言う。そのレベルを高めることができれば、セキュリティ対策コストの増加を防いで利便性を保つことができるのだが…。今回は、社員の情報セキュリティ意識とリテラシの不足をどう埋めていけるのか、その方法を探る。また、特にエンドユーザの注意が必要な「標的型攻撃」の実例と対策についても考えていく。

セキュリティ

「知らない」こと、そのものがセキュリティリスクに

 かつて大ニュースとなったStuxnetによるサイバー攻撃の発端はUSBメモリだったと言われている。また現在最も注目される「標的型攻撃」の多くは、メールの中のURLをクリックさせ、不正な仕掛けを施してウイルス感染を図るWebサイトに接続させる手口だ。また日々やってくる多くのスパムメールの中には、フィッシング詐欺を仕掛けるためのWebサイトのURLが記載されている。
 こうしたセキュリティ上の脅威は、各種のセキュリティツールを利用すればある程度までは防御できる。しかし完全ではない。しかもできるだけハイレベルな防御を目指せば、それだけセキュリティの仕組みが複雑になり、導入コストもランニングコストも増大し続けることを免れない。
 最も望ましいのは、サーバ管理者はむろんのこと、PCなどクライアント端末を利用する業務部門の一般社員にセキュリティ上の脅威について認識を深めてもらい、自分自身で情報とシステムを脅威から守る対処ができるようにしてもらうことだ。継続して啓発・指導できる体制が作れれば、最もコスト効果の高い対策となりうる。
 しかし言うは易いが行うに難いのがこの対策だ。情報システム部門にとっては常識的なセキュリティ対策であっても、業務部門ではそもそも対策が必要な理由もわからなければ、対策に必要な操作も知らないという状況は珍しくない。そのギャップを補うために各種の研修の際にセキュリティ関連の知識やルールについて説明したとしても、その効果は長続きしないことも多いようだ。
 IPAが実施している「情報セキュリティの脅威に対する意識調査」(2012年度)では、一般的なセキュリティ意識の現状がよくわかる。その典型的な一例を紹介しよう。脆弱性を狙うウイルスは現在最も警戒すべき脅威だが、それに対抗する有効な手段がソフトウェアへのセキュリティパッチ適用だ。7割程度の人がWindows Updateなどによるパッチ更新を行なっているが、残りの3割近い人にパッチ更新を実施しない理由を尋ねた結果が図1だ。

図1 年代順・習熟度別 セキュリティパッチの更新を実施しない理由
図1 年代順・習熟度別 セキュリティパッチの更新を実施しない理由
※セキュリティパッチの更新を実施しない人ベース
※n=30未満は参考値とする
資料提供:IPA

 「セキュリティパッチの更新方法がわからない」という答が44.1%を占めた。これはまさにリテラシの欠如と言える。しかもPC習熟度が中級レベルで半数以上、上級レベルでも3割超の人がこのように答えている。
 またその次に多かった答が「費用がかかる」で26.0%だ。これは実はアンケートの「引っかけ項目」であって、実際にはセキュリティパッチ更新で費用がかかるケースは一般ではほとんどない。それにもかかわらずこの項目が選ばれたのは、その事実を知らないか、あるいはパッチ更新について興味がなく、なんとなくコストがかかりそうだと考えている人が多いことを示すと見てよいだろう。「メリットがわからない」「必要性を感じない」という人もかなりいる。特にPC習熟度最上級レベルの人の2割もが「必要性を感じない」と答えているのには驚く。
 こうした傾向は過去3年を振り返ってもほとんど変わりがない。この間に大きな情報漏洩事件やウイルス感染事件、サイバー攻撃事件などが報道されており、会社の情報システム部門からは脆弱性対策へのアピールがされていると考えられるのに、傾向に変わりがないことは、一般の人がいかにセキュリティに関心がないかを示しているようだ。
 同じことは、この調査例だけでなく、意識調査全体を通して見えてくる。情報セキュリティ部門は今まで以上に、セキュリティ知識の普及・啓発と、意識の向上を図る必要があるだろう。


1

セキュリティ意識とリテラシを高める取り組みとは

1-1

会社のセキュリティ対策状況のレベルを把握しよう

 セキュリティ意識とリテラシを全社で高める活動は、現状のセキュリティ対策状況を正しく把握するところから始まらなければならない。ITを統括している情報システム部門や総務部門としては、会社の現状で何が弱点なのかを判別したい。

■「5分でできる!中小企業のための情報セキュリティ自社診断」の利用

 例えば中小企業においてのセキュリティ状況の把握に有用なのが、本コーナーの9月の記事で紹介しているIPAの「5分でできる!中小企業のための情報セキュリティ自社診断」チェックリスト(PDF)だ。このチェックリストの内容はWebサイトでもチェックできる(「5分でできる!自社診断」)。これらを用いると、自社の基本的な対策として何が足りないのかが理解できる。

■「情報セキュリティ対策ベンチマーク」の利用

 また比較的規模の大きい企業では、業界内で自社がどのレベルのセキュリティを実現しているのかを客観的に評価したいニーズもあるだろう。そこで有用なのがこれもIPAの「情報セキュリティ対策ベンチマーク」だ。全46問の設問に答えると、業界内での自社のセキュリティレベルの位置づけなどの診断結果が出てくる。すでに利用件数は延べ2万4000件を超えており、豊富な基礎データを元にした客観評価が行える。30分ほどで診断が可能なので、利用をおすすめする。

セキュリティ情報局にご登録頂いた方限定で「社員の情報セキュリティリテラシ不足と対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


セキュリティ/社員の情報セキュリティリテラシ不足と対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「セキュリティ」関連情報をランダムに表示しています。

セキュリティ」関連の製品

マネージドセキュリティサービスの選び方――脅威を早期発見するための4条件 【TIS】 Webフィルタリングソフト InterSafe WebFilter 【アルプス システム インテグレーション】 クラウド帳票サービス「OPROARTS」 【日本オプロ】
検疫 フィルタリング 電子帳票システム
マネージドセキュリティサービスの選び方――脅威を早期発見するための4条件 Webの閲覧やSNS、Webメール等の利用を規制・管理するソフトウェア。携帯キャリア独占の高品質データベースと使いやすさにこだわったログ分析機能を搭載。 帳票設計、帳票エンジンの機能に加え、帳票用のデータ取得や加工から生成した帳票の外部サービスの受け渡し等、帳票業務に係る機能をトータルで提供するクラウドサービス。

セキュリティ」関連の特集


バックアップやデータベース、様々な用途で活躍するSAN。エンジニア要らずで運用可能な製品も取り上げ、…



クライアント管理の有力な解決策として期待を集めるデスクトップ仮想化。メリットは何か?課題はないのか?…



ツールの導入状況や導入目的、満足度など323人にアンケート調査!ワークフローツール、中小企業と大企業…


セキュリティ」関連のセミナー

F5/Palo Alto/Proofpointで行うOffice 365のセキュリティ 【テクマトリックス】 注目 

開催日 11月22日(水)   開催地 東京都   参加費 無料

【Office 365に最適なインフラ構築とセキュリティ対策がわかる】Microsoft社のOffice 365を導入される際にセキュリティリスクとなるテナント…

エンドポイントトレンドセミナー2017 【NECキャピタルソリューション】 締切間近 

開催日 11月29日(水)   開催地 東京都   参加費 無料

時間や場所にとらわれない柔軟な働き方の実現に向けて企業がモバイルワークを検討、採用していくなかで、エンドポイントへのセキュリティ脅威も増え続けています。企業の情…

第4回セキュリティユーザカンファレンス 【インテリジェント ウェイブ】 注目 

開催日 12月6日(水)   開催地 東京都   参加費 無料

株式会社インテリジェント ウェイブでは、最新のサイバーセキュリティ状況と対策をテーマとしたセキュリティユーザカンファレンスを、2016年より開催して参りました。…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30005180


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ