やっぱり理想論?セキュリティ教育で「全社員に対策を徹底させる」ことはできるのか
記事をお気に入りリストに登録することができます。
組織には、どれだけ堅牢なセキュリティ製品を導入しても、カバーしきれない脆弱性が存在する。それは、“人”である。フィッシングメールを社員の誰か1人でもクリックしてしまったら、あるいはテレワークをしている外出先にパスワードを書いたメモを置いてきてしまったら……。たちどころにセキュリティは崩壊する。だが、従来のセキュリティ教育ではそうした過失を防ぐことはなかなか難しい。今求められるのは、セキュリティの“知識”ではなく“意識”の変革なのである。
(Photo/Getty Images)
過去最多を記録したフィッシング報告件数、“人”が狙われている
ランサムウェア、サプライチェーン攻撃、テレワークを狙った攻撃……。新型コロナウイルス感染症のパンデミック以降、サイバー攻撃は激化している。そして、こうした攻撃をよく見ると、ある共通点があることに気づく。それは、攻撃の入り口として“人”が狙われていることだ。マルウェアを潜ませたファイルをメールに添付して送りつける、あるいはマルウェアを組み込んだWebサイトに誘い込むなど、“人”を起点として攻撃が始まっているのである。
この傾向はデータでも裏付けられている。フィッシング詐欺に関する情報を収集・発信しているフィッシング対策協議会の調査によれば、2021年8月のフィッシングメールの報告件数およびフィッシングサイトのURL件数は、2008年の調査開始以来、ともに最多を記録したという。
企業・組織において、“人”は明らかな脆弱性である。これまでITシステムへのセキュリティ対策は継続的に行われてきたが、“人”に対する対策は十分ではなかったのではないか、という疑問が出てくる。
こう書くと「我が社では半年に1回、フィッシングメールの訓練を実施している」「社員全員にセキュリティ研修を受けさせた」といった反論があるだろう。しかしそれでセキュリティ意識が全社員に定着したと言い切れるだろうか。……実際には難しいだろう。社員側からしても「やらされ感」があり、また頻度も少ないため、“なんとなく知っているレベル”にとどまるのではないだろうか。
こうした現実を踏まえて、米国では「セキュリティアウェアネス(Security Awareness)」というキーワードが注目されている。本記事の続きではセキュリティアウェアネスの専門家の意見を聞きながら、これからのセキュリティ教育を考えていこう。社員のセキュリティ意識を、たとえば私たちが外から帰ってきたら手洗いをするように、“やって当たり前のレベル”にまで高めるには何が必要なのだろうか。
この記事の続き >>
・エバンジェリストが教える「セキュリティアウェアネス」
・映画さながらの本格的な動画でセキュリティアウェアネスを醸成?
・強制されても身に付かない、「自ら選んで学ぶ」ことが大切
・トップ自らが先頭に立つことの重要さ。セキュリティを当たり前のものに
今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ
