企業における情報資産の重要性が増している昨今、電話の応対やビジネスマナー、キャリア別研修など、従来行ってきた社内教育の中に、情報セキュリティを含めることを考えなければならない時期に来ています。
そこで本記事では、情報セキュリティを行う上で必要な事項を見ていきます。
起こりうるインシデントについて
情報セキュリティに関する社内教育が不十分なために起きてしまうインシデントとしては、例えば次のようなインシデントが想定できます。
- OSやブラウザ、ソフトウェアの脆弱性を修正する更新プログラムを適用せずに放置したため、マルウェアに感染
- セキュリティ対策ソフトのパターンファイルを最新にしていなかったために、第三者がそのコンピュータのID、パスワードを悪用して不正に侵入
- コンピュータや媒体の置き忘れ、自宅にコンピュータを持ち帰ってマルウェアに感染などすることによる情報漏えい
- 電子メールの誤送信による情報漏えい
- 電子メールに添付されているファイルを安易に開いたことによるマルウェア感染
- SNSへの安易な書き込みによる情報漏えい
インシデントによる被害の例
- コンピュータやファイルサーバ内のデータが窃取されて悪用されたり、改ざんされたりする。
- 1台のコンピュータがマルウェアに感染したために、社内ネットワークを通じて他のコンピュータにも感染が広がり、業務が停止してしまう。
- マルウェアに感染したコンピュータが、他のネットワークシステムに対するDDoS攻撃の道具として悪用される。
- サーバが不正アクセスされ、フィッシングサイトを立てられたり、マルウェアに感染させるための攻撃サイトとして悪用されたりする。
上記のように必ず、どういったことが行われれば、どんな結果を招くのか、具体例を含めて教えることが重要です。
そうすると、起こりうるインシデントを避けることが重要だということに社員が気づくことができます。
具体的には次のようなことです。
- OSやブラウザ、ソフトウェアの更新ファイルは担当部署から連絡があればすぐに対応する。
- セキュリティ対策ソフトのパターンファイルも担当部署から連絡があればすぐに対応する。
- データを持ち出す際には暗号化するなどの対策を取る。
- 電子メールの添付ファイルはスキャンしてから開く。
- 電子メールに記載されているURLをクリックしたり、有害と思われるサイトを開いたりする際には、セキュリティ対策ソフトの警告に従う。
それでもなお、万が一インシデントが発生してしまった場合には情報セキュリティポリシーに従って対応することを徹底させるために、情報セキュリティポリシーの内容について定期的にテストを行うなどの措置も必要でしょう。