社員の情報セキュリティリテラシ不足と対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

社員の情報セキュリティリテラシ不足と対策

2012/12/18


 セキュリティ対策にはこれで十分という限度がなく、利便性およびコストと、対策の強度とのトレードオフで最適な落とし所を見つけなくてはならない。そのなかでクローズアップされるのが、エンドポイントでどこまで攻撃の防御や回避ができるかだ。クライアントPCに対してとれる対策は限られており、最終的にはユーザ個人のセキュリティに関する意識とリテラシがものを言う。そのレベルを高めることができれば、セキュリティ対策コストの増加を防いで利便性を保つことができるのだが…。今回は、社員の情報セキュリティ意識とリテラシの不足をどう埋めていけるのか、その方法を探る。また、特にエンドユーザの注意が必要な「標的型攻撃」の実例と対策についても考えていく。

セキュリティ

「知らない」こと、そのものがセキュリティリスクに

 かつて大ニュースとなったStuxnetによるサイバー攻撃の発端はUSBメモリだったと言われている。また現在最も注目される「標的型攻撃」の多くは、メールの中のURLをクリックさせ、不正な仕掛けを施してウイルス感染を図るWebサイトに接続させる手口だ。また日々やってくる多くのスパムメールの中には、フィッシング詐欺を仕掛けるためのWebサイトのURLが記載されている。
 こうしたセキュリティ上の脅威は、各種のセキュリティツールを利用すればある程度までは防御できる。しかし完全ではない。しかもできるだけハイレベルな防御を目指せば、それだけセキュリティの仕組みが複雑になり、導入コストもランニングコストも増大し続けることを免れない。
 最も望ましいのは、サーバ管理者はむろんのこと、PCなどクライアント端末を利用する業務部門の一般社員にセキュリティ上の脅威について認識を深めてもらい、自分自身で情報とシステムを脅威から守る対処ができるようにしてもらうことだ。継続して啓発・指導できる体制が作れれば、最もコスト効果の高い対策となりうる。
 しかし言うは易いが行うに難いのがこの対策だ。情報システム部門にとっては常識的なセキュリティ対策であっても、業務部門ではそもそも対策が必要な理由もわからなければ、対策に必要な操作も知らないという状況は珍しくない。そのギャップを補うために各種の研修の際にセキュリティ関連の知識やルールについて説明したとしても、その効果は長続きしないことも多いようだ。
 IPAが実施している「情報セキュリティの脅威に対する意識調査」(2012年度)では、一般的なセキュリティ意識の現状がよくわかる。その典型的な一例を紹介しよう。脆弱性を狙うウイルスは現在最も警戒すべき脅威だが、それに対抗する有効な手段がソフトウェアへのセキュリティパッチ適用だ。7割程度の人がWindows Updateなどによるパッチ更新を行なっているが、残りの3割近い人にパッチ更新を実施しない理由を尋ねた結果が図1だ。

図1 年代順・習熟度別 セキュリティパッチの更新を実施しない理由
図1 年代順・習熟度別 セキュリティパッチの更新を実施しない理由
※セキュリティパッチの更新を実施しない人ベース
※n=30未満は参考値とする
資料提供:IPA

 「セキュリティパッチの更新方法がわからない」という答が44.1%を占めた。これはまさにリテラシの欠如と言える。しかもPC習熟度が中級レベルで半数以上、上級レベルでも3割超の人がこのように答えている。
 またその次に多かった答が「費用がかかる」で26.0%だ。これは実はアンケートの「引っかけ項目」であって、実際にはセキュリティパッチ更新で費用がかかるケースは一般ではほとんどない。それにもかかわらずこの項目が選ばれたのは、その事実を知らないか、あるいはパッチ更新について興味がなく、なんとなくコストがかかりそうだと考えている人が多いことを示すと見てよいだろう。「メリットがわからない」「必要性を感じない」という人もかなりいる。特にPC習熟度最上級レベルの人の2割もが「必要性を感じない」と答えているのには驚く。
 こうした傾向は過去3年を振り返ってもほとんど変わりがない。この間に大きな情報漏洩事件やウイルス感染事件、サイバー攻撃事件などが報道されており、会社の情報システム部門からは脆弱性対策へのアピールがされていると考えられるのに、傾向に変わりがないことは、一般の人がいかにセキュリティに関心がないかを示しているようだ。
 同じことは、この調査例だけでなく、意識調査全体を通して見えてくる。情報セキュリティ部門は今まで以上に、セキュリティ知識の普及・啓発と、意識の向上を図る必要があるだろう。


1

セキュリティ意識とリテラシを高める取り組みとは

1-1

会社のセキュリティ対策状況のレベルを把握しよう

 セキュリティ意識とリテラシを全社で高める活動は、現状のセキュリティ対策状況を正しく把握するところから始まらなければならない。ITを統括している情報システム部門や総務部門としては、会社の現状で何が弱点なのかを判別したい。

■「5分でできる!中小企業のための情報セキュリティ自社診断」の利用

 例えば中小企業においてのセキュリティ状況の把握に有用なのが、本コーナーの9月の記事で紹介しているIPAの「5分でできる!中小企業のための情報セキュリティ自社診断」チェックリスト(PDF)だ。このチェックリストの内容はWebサイトでもチェックできる(「5分でできる!自社診断」)。これらを用いると、自社の基本的な対策として何が足りないのかが理解できる。

■「情報セキュリティ対策ベンチマーク」の利用

 また比較的規模の大きい企業では、業界内で自社がどのレベルのセキュリティを実現しているのかを客観的に評価したいニーズもあるだろう。そこで有用なのがこれもIPAの「情報セキュリティ対策ベンチマーク」だ。全46問の設問に答えると、業界内での自社のセキュリティレベルの位置づけなどの診断結果が出てくる。すでに利用件数は延べ2万4000件を超えており、豊富な基礎データを元にした客観評価が行える。30分ほどで診断が可能なので、利用をおすすめする。

セキュリティ情報局にご登録頂いた方限定で「社員の情報セキュリティリテラシ不足と対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


セキュリティ/社員の情報セキュリティリテラシ不足と対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「セキュリティ」関連情報をランダムに表示しています。

セキュリティ」関連の製品

マイナンバーソリューション 【日立ソリューションズ】 俊敏で効率的なIT基盤コンポーザブル・インフラストラクチャ 【日本ヒューレット・パッカード株式会社】 IceWall SSO 【日本ヒューレット・パッカード】
暗号化 システムインテグレーション シングルサインオン
収集・保管・利用にいたる業務プロセスをサポート。保管時はセキュアな専用DBで安全にマイナンバーを管理し、利用時のセキュリティも強化できる。 「コードによるITインフラの管理」ができると、何がどう変わるのか 国内導入実績No.1※シングルサインオン製品
Office 365、Salesforce、GoogleApps等と認証連携(フェデレーション)が可能
OATH準拠のOTPソリューション、モバイルSSOも提供

セキュリティ」関連の特集


名刺管理ツールで名刺を“宝の山”に変えたい…そう意気込んでせっかく導入したのに「こんなはずじゃなかっ…



 前回までの「“データベース暗号”は本当に必要なのか?」では、データベース暗号の触りと法制面、ガイド…



利便性を犠牲せずにセキュリティを担保するために何ができる?社外から業務アプリを安全に利用するための”…


セキュリティ」関連のセミナー

巧妙化するサイバー攻撃!情報流出を防ぐための対策とは? 【エムオーテックス/ディーアールエス】 締切間近 

開催日 1月27日(金)   開催地 大阪府   参加費 無料

大手旅行会社で793万件もの個人情報流出がニュースを賑わしました。その手口は標的型メールと言われており、昨年発生した日本年金機構と同様のものになります。標的型攻…

【福岡】デスクネッツ ネオ & チャットラック体験セミナー 【ネオジャパン/九州日立システムズ】 注目 

開催日 2月7日(火),2月7日(火)   開催地 福岡県   参加費 無料

1人1台のパソコン環境で操作性や機能をご体験いただきながら、満足度No.1グループウェア(※)「desknet's NEO」とビジネスチャットシステム「Chat…

ランサムウェア被害をAIを使ったエンドポイントで防御! 【エムオーテックス/Cylance Japan】 注目 

開催日 2月6日(月)   開催地 愛知県   参加費 無料

昨年発生した米連邦政府の人事管理局(OPM)から2150万人もの職員情報が流出した事件について、今年9月に報告書が公開されました。そこには流出を発見できた経緯と…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30005180


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ