新入社員には最低限のセキュリティ基本教育が必須

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る
security1852

企業では4月になると新入社員を迎える時期になり、社内の業務レクチャーやOJTなどが活発になるのではないでしょうか。そんな中で、是非とも新人研修の中に取り入れて欲しいものがあります。増加する漏えい事故が増え続ける中で人為的なミスが後を絶えません。

一人ひとりの社員がパソコンやメールなどの利用に関するマナーやセキュリティ対策を意識することは今や欠かせません。今回、新入社員に最低限のセキュリティの基本教育を知ってもらうべき代表的な項目を4つご紹介しします。

ウイルス対策ソフトを導入したからといって100%ではない

よくある勘違いの1つとして、自分のパソコンはウイルス対策ソフトを導入しているから大丈夫!この気持ちが重大は被害に繋がるケースもあります。ウイルス対策ソフトは、インストールしただけでは十分ではありません。マルウエア感染予防のためには、定義ファイルを常に最新の状態に保つことが必要です。

一般的なウイルス対策ソフトは、初期状態で定義ファイルの自動アップデートや定期的なウイルススキャン、そしてファイルアクセスを常時監視するリアルタイムスキャンの自動実行が有効になっています。

この設定を自分の判断で変更すると、定義ファイルのアップデートやリアルタイムスキャンの自動実行が無効になってしまい、ウイルス対策ソフトの用をなさなくなってしまう可能性があります。社員には無断でセキュリティの変更は無暗にしないように伝えておくことが重要です。

また、ウイルス対策ソフトの有効期限が切れると、定義ファイルのアップデートが行われなくなります。期限切れのウイルス対策ソフトを使い続けていないかどうかもチェックが必要です。

怪しいメールの添付ファイルやリンク先は開かない

企業であれば、社内や取引先、そしてお客様などにはメールでのやり取りは欠かせませんが、このメールを悪用し、通常の業務やお客様からの内容に見せかけつつ、リンクへのクリックを誘導する「なりすましメール」によって、ウイルス感染を引き起こす可能性があります。

対処策として、いつもと違う「雰囲気」を感じ取ることが重要で、日頃から社員一人ひとりがセキュリティへの関心と知識を持つことが、未然に防ぐポイントですが、どんなに教育や訓練を行ったとしても、100%防げるものではなく、確実に見抜くということは不可能です。年々、巧みに細工された、なりすましメールの難易度は増えていく一方です。

security_19迷惑メールの撃退方法!実践すべき5つのポイント
受信フォルダで見かけた迷惑メール。気になるタイトルに、どんな内容だろう? と開封してしまうのはじつは危険なんです。なんと、プレビューで見るだけで感染するウイル...

無料のソフトウエアを無断でインストールしない

業務の効率をはかる・便利そうだからという理由で、ネット上に落ちているフリーのソフトウエアをインストールすることがありますが、これは一歩間違えると大変危険です。ライセンス料など発生しないからといって個人個人で勝手にインストールすると、そのソフトウエアの脆弱性を突く攻撃を受ける場合があります。

結果的に利用しているパソコンがマルウエアに感染する原因となってしまう可能性があります。決して、無断でインストールするようなことがないようにしておくことが重要です。

security_20マルウェアとは?ウイルスとの違い感染対策について
パソコンやネットワークには、さまざまな脅威があります。たとえば悪意あるクラッカーによる、プロトコルやOSの脆弱性を突いた攻撃や、ユーザー側のうっかりミスで発生...

離席する場合は必ずパソコンにロックをする

作業中のパソコンの画面をそのままにし、席を離れてはいけません。席を離れている間に、機密情報にアクセスされたり、マルウエアがインストールされたりする危険性があります。特にオフィス内に外部の人間が頻繁に出入りするような場所では注意が必要です。

よく、○分間無操作だとパスワード付スクリーンセーバが起動する設定もありますが、その間にも不正アクセスは可能です。必ず離席時は各自でロックをかけるようにし、長時間の離席にはシャットダウンする習慣をつけましょう。

手軽で便利なUSBメモリにはセキュリティ面で大きな問題

USBメモリは、手軽に持ち運びができ、大変便利ですが、その反面でUSBメモリ経由でのウイルスやスパイウェアなどのマルウエアに感染してしまう恐れがあります。このようなウイルスは、USBメモリ内に自動起動のプログラムを潜ませて、接続時にパソコンに自身をコピー。

そしてパソコンにコピーされたウイルスは他のパソコンのUSBメモリに自身をコピーし、さらに感染を拡げるのが特徴です。また、このような感染以外にも、社員や外部の人間が意図的に漏えい、紛失や盗難などで漏れてしまうことも多くあります。

対策方法としては、もちろんUSBメモリの利用を禁止するかどうかですが、実際に実行にするかは難しい判断になります。現実的な対策としては、USBメモリを許可しつつ、ログを取得するか、企業側が用意をしたものを利用させるなどがいいのではないでしょうか。

万が一、紛失や盗難が行なわれても第三者が中身を読み取れないよう、データを暗号化するセキュリティUSBメモリを使うことをオススメします。

その他、絶対やってはいけないセキュリティ項目

  • 安易なパスワードやパスワードの使いまわし
  • ブログやSNSの社外の掲示板などへ会社の出来事を書き込み
  • 社外メールおよび社内メールで絵文字や不必要な文字を使用
  • ファイル交換ソフトをインストールしている自宅のパソコンで、会社の仕事をする
  • インターネットカフェのパソコンで、会社の仕事をする
  • 業務時間中に仕事と関係の無いサイトを閲覧
security_03安全なパスワードの作成方法と管理のコツ・強度のチェック
パスワードの安全性と・強度について考えてことはありますか?難しいパスワードは覚えられないから簡単なパスワードを設定している人がおられます。クレジットカードを...

会社内でのセキュリティルールの決定事項

セキュリティ対策ルールを設定することは、非常に重要です。具体的にどのようなルールを設定すればよいかというと、つぎのようなことが挙げられます。

セキュリティ対策ルールに盛り込むべき内容

  • セキュリティ担当者を任命する
  • 会社のパソコン・重要データを社外に持ち出さない
  • 重要データ・書類はカギのついた倉庫に厳重保管
  • データを社外に持ち出す場合は許可制にし、紛失しないよう注意する
  • 重要データは担当者しか見られないよう設定する
  • 二重確認やツールなどを利用し、メールの誤送信を防止する
  • 社内の重要情報をSNSなどで拡散しないように周知する
  • 社員が退職したら各種パスワードを変更する

これらのルールを設定したら新入社員な中途入社など迎えると社内の業務レクチャーやOJT

などで指導する必要があります。勉強会では、最新のセキュリティ対策やサイバー攻撃事例などを挙げ、その対策について話し合うなどするとよいでしょう。

人的な対策だけでは漏えい事故は防げない

個人情報漏えいの事故件数は人的ミスなどによるものが多いですが、漏えいした情報の多さでは外部要因の不正アクセスによるものが多く被害をうけています。

この人的なミスの予防は、ある程度コントロールができ、管理体制さえすれば、予防はいくらでも可能ですが、外部からの攻撃は無差別攻撃になるため、対策も難しく非常に見落としやすいといえるでしょう。

セキュリティ管理ナシでは安全な経営はできない

今やWebサイトは企業の顔であり、不正アクセスなどによって、個人情報の漏えいやサイト改ざん被害に遭えば、売上低下といった直接的被害のほか、企業ブランドの損傷や信頼性の低下といったさまざまな被害に遭う可能性があります。

つねに24時間稼働し続けるインターネットの世界では、つねにリスクにさらされている以上、重要な経営課題の1つであるといえます。

情報漏えい1件あたりの賠償金額はいくら?

2015年にJNSA(Japan Network Security Association)が行った調査によると一人あたりの平均想定損害賠償額は2万8020円という結果が出ています。1件あたりの漏えい人数平均は6578人、1件あたりの被害総額は3億3705万円と大きな金額となっています。

もちろん、この金額だけを支払えば事態が収拾するのではありません。不正アクセスやウイルス感染が原因の情報漏えいであれば、まずセキュリティ会社のエンジニアを呼んで、何日にもわたり徹底的に原因究明・対処しなくてはなりません。

その間はサービスを停止しなくてはなりませんし、当然に顧客・取引先からの信用も失墜。大幅な売上減少は回避できないでしょう。そうなると、億程度で済む問題ではありません。また、流出した個人情報が数万件に及べば、賠償費用も数億円単位になります。情報流出が原因で倒産する可能性は大いにありえるのです。

企業の安全を守るセキュリティ診断

セキュリティ診断はホームページ・Webアプリケーションに対して、攻撃者の視点から様々な疑似攻撃を考察・試行することで、安全性を徹底的に調査します。

診断の結果に基づき、対策を施すことにより、先ほどに挙げたようなSQLインジェクション、Ddos攻撃、クロスサイトスクリプティングなどの被害から未然に防ぐことができます。

セキュリティの弱点に気づかないのは、窓のカギを締め忘れたまま、気づかないようなものです。また、弱点を放っておくことは、いつまでもカギを開け放したままと同じことです。ドロボウに入られる前に、しっかり防犯対策をしておきましょう。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

今、注意すべき攻撃手口はこれ!【2016年最新セキュリティ脅威レポート】 特別プレゼント

・「セキュリティ診断」で何がわかるの?
どんな危険が見つかっているの?
どんな被害が発生しているの?

もし、あした「情報漏えい事故」であなたの会社がニュースになったら?
攻撃者は、自動攻撃ツールを使って24時間365日、攻撃できるスキマを狙っています。
セキュリティ事故は、いつ起きてもおかしくありません。

【2016年最新セキュリティ脅威レポート】では、弊社が実際に疑似攻撃(ペネトレーションテスト)をおこない、検証した結果から、2016年注意すべき脆弱性・実際に多かった不備などをお伝えします。

「今、どんな被害が起きているのか?」
最新のセキュリティ脅威を知って、事故を未然に防ぎませんか?
ぜひダウンロードして、今後のセキュリティ対策にお役立てください。


【2016年最新セキュリティ脅威レポート】目次
1. おもなWebアプリケーション診断項目
2. ペネトレーションテスト内容とは?
-2015年度ペネトレーションテスト初回診断時総合評価の結果一覧
-脅威レベル深刻度別・脆弱性の該当比率一覧
3. 2015年度に多く検出された脆弱性とは?
4. ペネトレーションテストで発見した、新らなる脅威とは?
-最近また増えた、ウイルス感染配布サイト
-パケット改ざんプログラムによる被害

セキュリティレポートをダウンロードする >