開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

株式会社電通国際情報サービス提供コンテンツ

  • スペシャル
  • 会員限定
  • 2021/12/27

やっぱり理想論?セキュリティ教育で「全社員に対策を徹底させる」ことはできるのか

組織には、どれだけ堅牢なセキュリティ製品を導入しても、カバーしきれない脆弱性が存在する。それは、“人”である。フィッシングメールを社員の誰か1人でもクリックしてしまったら、あるいはテレワークをしている外出先にパスワードを書いたメモを置いてきてしまったら……。たちどころにセキュリティは崩壊する。だが、従来のセキュリティ教育ではそうした過失を防ぐことはなかなか難しい。今求められるのは、セキュリティの“知識”ではなく“意識”の変革なのである。

photo
テクノロジーでは防げない“人”という脆弱性をどうすれば良いのか
(Photo/Getty Images)

過去最多を記録したフィッシング報告件数、“人”が狙われている

 ランサムウェア、サプライチェーン攻撃、テレワークを狙った攻撃……。新型コロナウイルス感染症のパンデミック以降、サイバー攻撃は激化している。

 そして、こうした攻撃をよく見ると、ある共通点があることに気づく。それは、攻撃の入り口として“人”が狙われていることだ。マルウェアを潜ませたファイルをメールに添付して送りつける、あるいはマルウェアを組み込んだWebサイトに誘い込むなど、“人”を起点として攻撃が始まっているのである。

 この傾向はデータでも裏付けられている。フィッシング詐欺に関する情報を収集・発信しているフィッシング対策協議会の調査によれば、2021年8月のフィッシングメールの報告件数およびフィッシングサイトのURL件数は、2008年の調査開始以来、ともに最多を記録したという。

 企業・組織において、“人”は明らかな脆弱性である。これまでITシステムへのセキュリティ対策は継続的に行われてきたが、“人”に対する対策は十分ではなかったのではないか、という疑問が出てくる。

 こう書くと「我が社では半年に1回、フィッシングメールの訓練を実施している」「社員全員にセキュリティ研修を受けさせた」といった反論があるだろう。しかしそれでセキュリティ意識が全社員に定着したと言い切れるだろうか。……実際には難しいだろう。社員側からしても「やらされ感」があり、また頻度も少ないため、“なんとなく知っているレベル”にとどまるのではないだろうか。

 こうした現実を踏まえて、米国では「セキュリティアウェアネス(Security Awareness)」というキーワードが注目されている。本記事の続きではセキュリティアウェアネスの専門家の意見を聞きながら、これからのセキュリティ教育を考えていこう。社員のセキュリティ意識を、たとえば私たちが外から帰ってきたら手洗いをするように、“やって当たり前のレベル”にまで高めるには何が必要なのだろうか。

この記事の続き >>
・エバンジェリストが教える「セキュリティアウェアネス」
・映画さながらの本格的な動画でセキュリティアウェアネスを醸成?
・強制されても身に付かない、「自ら選んで学ぶ」ことが大切
・トップ自らが先頭に立つことの重要さ。セキュリティを当たり前のものに

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!