今一度チェック、情報セキュリティ対策の勘所

セキュリティ_デジタル

情報セキュリティ・インシデントが発生するたびに叫ばれる、ユーザーリテラシー教育の必要性と、セキュリティ対策の強化。今、何に投資すべきか、お伝えします。

情報セキュリティ教育の必要性

情報セキュリティ・インシデントが発生するたびに、ユーザーリテラシー教育の必要性が叫ばれます。実際に読者の皆様の組織でも、情報セキュリティ教育として、それぞれに取り組みが実施されていることでしょう。その方法もさまざまで、インターネットやイントラネットによる、オンライン形式での座学の受講とテスト、集合形式でのプレゼンやビデオ視聴、実際に問題が置きてしまったことを想定したワークショップ形式、等、少しでも組織の所属要員それぞれが、情報セキュリティ意識を高められるように、工夫を凝らした形で行なわれています。

以前、本サイトで、大手旅行業者の子会社が標的型攻撃を受けた事例(情報セキュリティ・インシデント)をご紹介しました。

攻撃を受けてしまった企業では、情報セキュリティ教育を普段から行なっていたそうです。しかも、従業員は日常的に、パソコン及びメールを利用する業務に従事している人々でした。つまり、ユーザーのITリテラシーは低くない環境だったと言えます。しかし、そんな環境であっても、侵入を防ぐことはできませんでした。侵入者が送りつけてきた不正なメールは、被害企業の取引先が送信したものと見せかけていました。さらに、日常的にやり取りしているものに似せたファイルが添付されていました(※このファイルを開いたことで、不正侵入を許すこととなってしまいました)。定期的に情報セキュリティ教育を受け、日常的にメール・添付ファイルをやり取りしている要員でも見抜くことができなかった、というわけです。

セキュリティ対策を強化するためのポイント

少し前の刊行物となりますが、IPA(独立行政法人情報処理推進機構)が2014年に公開した「情報セキュリティ読本 教育用プレゼン資料(※1)」では、「第3章 見えない脅威とその対策-個人レベルのセキュリティ対策-」として、一章まるごとエンドポイント・セキュリティに関する話題に触れた上で、その次の「第4章」で「組織の一員としての情報セキュリティ対策」と題し、組織・組織に所属する要員が、それぞれのレベルにおいて意識すべき情報セキュリティについてまとめています。その中に象徴的なフレーズが出てきますので、ご紹介したいと思います。

Pocket

コメント