社員の情報セキュリティリテラシ不足と対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

社員の情報セキュリティリテラシ不足と対策

2012/12/18


 セキュリティ対策にはこれで十分という限度がなく、利便性およびコストと、対策の強度とのトレードオフで最適な落とし所を見つけなくてはならない。そのなかでクローズアップされるのが、エンドポイントでどこまで攻撃の防御や回避ができるかだ。クライアントPCに対してとれる対策は限られており、最終的にはユーザ個人のセキュリティに関する意識とリテラシがものを言う。そのレベルを高めることができれば、セキュリティ対策コストの増加を防いで利便性を保つことができるのだが…。今回は、社員の情報セキュリティ意識とリテラシの不足をどう埋めていけるのか、その方法を探る。また、特にエンドユーザの注意が必要な「標的型攻撃」の実例と対策についても考えていく。

セキュリティ

「知らない」こと、そのものがセキュリティリスクに

 かつて大ニュースとなったStuxnetによるサイバー攻撃の発端はUSBメモリだったと言われている。また現在最も注目される「標的型攻撃」の多くは、メールの中のURLをクリックさせ、不正な仕掛けを施してウイルス感染を図るWebサイトに接続させる手口だ。また日々やってくる多くのスパムメールの中には、フィッシング詐欺を仕掛けるためのWebサイトのURLが記載されている。
 こうしたセキュリティ上の脅威は、各種のセキュリティツールを利用すればある程度までは防御できる。しかし完全ではない。しかもできるだけハイレベルな防御を目指せば、それだけセキュリティの仕組みが複雑になり、導入コストもランニングコストも増大し続けることを免れない。
 最も望ましいのは、サーバ管理者はむろんのこと、PCなどクライアント端末を利用する業務部門の一般社員にセキュリティ上の脅威について認識を深めてもらい、自分自身で情報とシステムを脅威から守る対処ができるようにしてもらうことだ。継続して啓発・指導できる体制が作れれば、最もコスト効果の高い対策となりうる。
 しかし言うは易いが行うに難いのがこの対策だ。情報システム部門にとっては常識的なセキュリティ対策であっても、業務部門ではそもそも対策が必要な理由もわからなければ、対策に必要な操作も知らないという状況は珍しくない。そのギャップを補うために各種の研修の際にセキュリティ関連の知識やルールについて説明したとしても、その効果は長続きしないことも多いようだ。
 IPAが実施している「情報セキュリティの脅威に対する意識調査」(2012年度)では、一般的なセキュリティ意識の現状がよくわかる。その典型的な一例を紹介しよう。脆弱性を狙うウイルスは現在最も警戒すべき脅威だが、それに対抗する有効な手段がソフトウェアへのセキュリティパッチ適用だ。7割程度の人がWindows Updateなどによるパッチ更新を行なっているが、残りの3割近い人にパッチ更新を実施しない理由を尋ねた結果が図1だ。

図1 年代順・習熟度別 セキュリティパッチの更新を実施しない理由
図1 年代順・習熟度別 セキュリティパッチの更新を実施しない理由
※セキュリティパッチの更新を実施しない人ベース
※n=30未満は参考値とする
資料提供:IPA

 「セキュリティパッチの更新方法がわからない」という答が44.1%を占めた。これはまさにリテラシの欠如と言える。しかもPC習熟度が中級レベルで半数以上、上級レベルでも3割超の人がこのように答えている。
 またその次に多かった答が「費用がかかる」で26.0%だ。これは実はアンケートの「引っかけ項目」であって、実際にはセキュリティパッチ更新で費用がかかるケースは一般ではほとんどない。それにもかかわらずこの項目が選ばれたのは、その事実を知らないか、あるいはパッチ更新について興味がなく、なんとなくコストがかかりそうだと考えている人が多いことを示すと見てよいだろう。「メリットがわからない」「必要性を感じない」という人もかなりいる。特にPC習熟度最上級レベルの人の2割もが「必要性を感じない」と答えているのには驚く。
 こうした傾向は過去3年を振り返ってもほとんど変わりがない。この間に大きな情報漏洩事件やウイルス感染事件、サイバー攻撃事件などが報道されており、会社の情報システム部門からは脆弱性対策へのアピールがされていると考えられるのに、傾向に変わりがないことは、一般の人がいかにセキュリティに関心がないかを示しているようだ。
 同じことは、この調査例だけでなく、意識調査全体を通して見えてくる。情報セキュリティ部門は今まで以上に、セキュリティ知識の普及・啓発と、意識の向上を図る必要があるだろう。


1

セキュリティ意識とリテラシを高める取り組みとは

1-1

会社のセキュリティ対策状況のレベルを把握しよう

 セキュリティ意識とリテラシを全社で高める活動は、現状のセキュリティ対策状況を正しく把握するところから始まらなければならない。ITを統括している情報システム部門や総務部門としては、会社の現状で何が弱点なのかを判別したい。

■「5分でできる!中小企業のための情報セキュリティ自社診断」の利用

 例えば中小企業においてのセキュリティ状況の把握に有用なのが、本コーナーの9月の記事で紹介しているIPAの「5分でできる!中小企業のための情報セキュリティ自社診断」チェックリスト(PDF)だ。このチェックリストの内容はWebサイトでもチェックできる(「5分でできる!自社診断」)。これらを用いると、自社の基本的な対策として何が足りないのかが理解できる。

■「情報セキュリティ対策ベンチマーク」の利用

 また比較的規模の大きい企業では、業界内で自社がどのレベルのセキュリティを実現しているのかを客観的に評価したいニーズもあるだろう。そこで有用なのがこれもIPAの「情報セキュリティ対策ベンチマーク」だ。全46問の設問に答えると、業界内での自社のセキュリティレベルの位置づけなどの診断結果が出てくる。すでに利用件数は延べ2万4000件を超えており、豊富な基礎データを元にした客観評価が行える。30分ほどで診断が可能なので、利用をおすすめする。

セキュリティ情報局にご登録頂いた方限定で「社員の情報セキュリティリテラシ不足と対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


セキュリティ/社員の情報セキュリティリテラシ不足と対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「セキュリティ」関連情報をランダムに表示しています。

セキュリティ」関連の製品

UTM/Firewall/Proxyログ一括管理 ManageEngine Firewall Analyzer 【ゾーホージャパン】 InterSafe DeviceControl 【アルプス システム インテグレーション】 Azure上でWindows 10の仮想デスクトップを配信、気になるTCOはどれくらい? 【日本マイクロソフト+他】
UTM DLP VDI
分かりにくいUTM/ファイアウォール/プロキシの生ログをグラフィカルで見やすくレポート出力できるログ管理ツール。
Juniper、Ciscoなど30ベンダー以上の主要機器に対応。
データの書き出しやネットワーク、プリンタの利用を制御し、データの不正持ち出しを徹底防止する情報漏えい対策ソフト。シリーズ製品との連携で証跡管理が可能。 Azure上でWindows 10の仮想デスクトップを配信、気になるTCOはどれくらい?

セキュリティ」関連の特集


「ナレッジ化が大事!」だと分かっていても、出来ないのは“ナゼ”でしょうか。今回は、文書管理ツールが“…



2005年4月1日から個人情報保護法(個人情報の保護に関する法律)が施行されたが、それに対応するため…



ベテランと新人。当然だけど大きな差が出る業務効率。研修もしてるのに全然差が埋まらないのは…ナゼ?そん…


セキュリティ」関連のセミナー

WEBサイト高速化&セキュリティ対策セミナー 【ディーネット】  

開催日 5月17日(木)   開催地 東京都   参加費 無料

セミナータイトル:WEB・ECサイト責任者様、必見! ・サイト高速化・セキュリティ対策セミナー開催日時2018年5月17日(木)15:00〜セミナー/17:30…

法人向けクラウドメールサービス無料紹介セミナー 【サイバーソリューションズ】  

開催日 4月26日(木)   開催地 大阪府   参加費 無料

多くの導入実績により顧客の声をしっかり反映、ビジネスに求められるメール機能を全て備え、手厚いサポートにより安心感に加え、 8年間完全停止ゼロという驚異の安定性に…

EXIN認定試験付クラウドコンピューティング基礎コース 【BSI グループジャパン】  

開催日 5月17日(木)   開催地 東京都   参加費 有料 5万9400円(税込)

本コースは、今後も発展が見込まれるクラウドコンピューティングの領域に取り組んでいく方を対象としたコースです。クラウドの基本概念を理解し、クラウドで何が出来るのか…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30005180


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ