脱IT初心者「社長の疑問・用語解説」(第82回)
ブルーライト対策にはうな重?
公開日:2017.12.06
情報セキュリティの脅威は偶発的なものと意図的なものに分かれる。偶発的なものは障害と人為的なものにさらに分かれる。今回は人為的なミスが引き起こす脅威への対策について考えたい。
社内の情報資産を洗い出し、脅威から情報を保護する情報セキュリティ対策を進めていく中で、難しいのが「人」の問題だ。いくら情報保護のためのルールを策定しても、それが守られなければ「絵に描いた餅」となる。ルールを守らない社員がいると、そこが全社的な情報セキュリティ上の弱点にもなりかねない。メールの誤送信や、顧客情報が保存されたスマホの置き忘れといったうっかりミスが個人情報漏えい事件に発展する時代である。情報セキュリティ対策を強化するITサービスの検討とともに、忘れてはならないのが社員教育だ。
メールやWebサイトを悪用した標的型攻撃の被害が後を絶たない。毎年、情報セキュリティの脅威を公表しているIPA(情報処理推進機構)の「情報セキュリティ10大脅威 2017」では、組織向け脅威として「標的型攻撃型による情報流出」が前年に続いて1位となった。
標的型攻撃では、「つい、うっかりしてメールや添付ファイルを開き、ウイルスに感染」するケースが多い。こうした手口は周知のはずだが、それでも引っかかるのは攻撃者の手口が巧妙化しているからだ。例えば、攻撃者が正規のアカウント情報(ユーザーID・パスワード)を盗み、本人になりすましてウイルスを埋め込んだ偽のメールを取引先に送信する。取引先は何の疑いもなくメールの添付ファイルを開いて感染する。標的型攻撃の対策としては、社員に対する情報セキュリティ教育の実施が欠かせない。
メールを悪用する標的型攻撃に備えた社員教育、訓練を実施する企業もある。ある企業ではIT部門が中心となり、会社のメールアドレスを持つ社員を対象にセキュリティ研修を実施。脅威の傾向を学ぶeラーニングに加え、定期的に社員に疑似メールを送り、標的型メール攻撃に対する訓練を行っている。
迷惑メールはフィルタリングをかけて隔離していても、標的型攻撃では送信元を偽装しており、隔離されないケースもある。不審メールを不用意に開かないように、日ごろから社員の訓練が必要だ。また、新入社員の研修時にセキュリティ教育を実施するのも有効だろう。入社時から徹底して社員のセキュリティ意識を高める狙いがある。
\ かんたん入力で登録完了 /
執筆=山崎 俊明
【M】
中小企業は必読!本当に必要なBCP対策
近年多発する地震や台風などの自然災害や新型コロナウイルスなどの感染症は、ビジネスに甚大な影響をもたらしかねません。企業にとってBCP(Business Continuity Plan:事業継続計画)を策定し、危機管理能力を高めて早期に事業継続や復旧を図る体制が必要です。BCP対策の実例や策定のポイントを解説します。
ランサムウェアの被害を防ぐバックアップ6つのポイント
企業内のネットワークに侵入してデータを暗号化し、その解除と引き換えに金銭を要求する「ランサムウェア」は企業にとっての大きな脅威になっています。。ここでは「ランサムウェア対策」という観点から、バックアップを行うときに気をつけたい6つのポイントを解説します。
企業の情報セキュリティリスク認知調査2023
テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。