これだけはやっておきたい、中小企業のネットワークセキュリティ】第4回|社員教育―「人」が最後の抜け穴になる

トップページ|ブログ|これだけはやっておきたい、中小企業のネットワークセキュリティ】第4回|社員教育―「人」が最後の抜け穴になる

ツールを整えれば終わり、ではない

ルーター、エンドポイント、クラウドバックアップ。
前回まで3回にわたって、社内ネットワークを守るための仕組みをご紹介してきました。

ただ、正直に言います。
これらをすべて導入しても、社員一人の「うっかり」で、一瞬にして崩れることがあります。

攻撃者はそれをよくわかっています。
高度なシステムをこじ開けるより、社員を騙したほうが早い。
だから今、サイバー攻撃の入り口は「技術の隙」より「人の隙」へと移ってきているのです。

今回はシリーズ最終回として「社員教育」をテーマに取り上げます。
難しい話ではありません。「知っているかどうか」だけで防げることが、思った以上に多いのです。

「人の隙」に潜む脅威とは

脅威① フィッシングメール・標的型メール

「本物そっくり」に気づける社員は、何人いますか?

取引先を装った請求書メール、宅配業者からの不在通知、社内システムのパスワード変更依頼――。
最近のフィッシングメールは、文面も差出人アドレスも、本物と見分けがつかないほど精巧になっています。
「自分は引っかからない」と思っている人ほど、何気なく開いてしまうものです。

脅威② パスワード管理の甘さ

「覚えやすいパスワード」が、会社全体を危険にさらします。

「同じパスワードをいくつかのサービスで使っている」という社員は、どの会社にも必ずいます。
一つのサービスで情報が漏れると、攻撃者は同じID・パスワードで他のサービスへの不正ログインを試みます。
個人の問題ではなく、会社全体が被害を受けるのです。

脅威③ 私物デバイス・シャドーIT

「便利だから使っていた」が、情報流出の入り口になります。

個人のスマートフォンで仕事のメールを確認したり、無料のクラウドストレージに業務データを一時保存したり。
悪意がなくても、会社が管理できていないデバイスやサービスは、セキュリティの「外側」にあります。
そこにどんなデータがあり、どこに送られているか、会社には把握するすべがありません。

必要な対策とは

フィッシングメール対策|「怪しいと思ったら確認する」文化を作る

まず「こういうメールが実際に届いた」という実例を社内で共有するだけで、社員の感度はぐっと上がります。年に一度、実例を使った社内勉強会を設けることを検討してみてください。
「不審なメールは開く前に周りに確認する」というルールを明文化しておくだけでも、大きな抑止力になります。

パスワード対策|ルール+ツール+もう一段の認証で守る

まず「○文字以上、数字・記号を含む、使い回し禁止」をルールとして明文化します。合わせてパスワードマネージャーを導入すると、社員が複雑なパスワードを覚える必要がなくなり、ルール遵守のハードルが下がります。

さらに有効なのが多要素認証(MFA)です。パスワードが万が一漏れても、スマートフォンへの通知や認証コードがなければログインできない仕組みです。「パスワードだけで守る時代は終わった」という認識を、会社全体で持っておきましょう。

私物デバイス・シャドーIT対策|「禁止」より「届出制」で現実的に管理する

私物デバイスの業務利用や会社非公認のクラウドサービスを「一律禁止」にしても、現実には守られにくいことがほとんどです。
「使う場合は届け出る」というルールに切り替えるほうが実態を把握しやすく、管理も続きます。
届け出られたものは会社側でリスクを確認し、必要なら代替手段を案内する。
この流れを作るだけで、シャドーITの温床になりにくくなります。

万が一のときは|社内で「行動フロー」を決めて周知する

教育やルールを整えても、インシデントはゼロにはなりません。
大切なのは「何かおかしいと気づいたとき、社員がすぐに動ける状態にしておくこと」です。
次の3ステップを、社内で共有しておいてください。

STEP 1|まずネットワークから切り離す

「変だな」と感じたPCは、LANケーブルを抜くかWi-Fiをオフにする。被害の拡大を防ぐ最初の一手です。

STEP 2|すぐに報告する

誰に、どのように報告するか。窓口を事前に決めておくことが重要です。
「言いにくい空気」が被害を広げます。「やらかした」と思ったときほど、すぐ言える環境が会社を守ります。

STEP 3|状況を記録する

何時に、何をしたときに、何が起きたか。記憶が鮮明なうちにメモしておくと、その後の対応がスムーズになります。
これらを確認しておくことで、障害時・攻撃時の混乱を大幅に削減できます。

まず「自社の現状を知る」ところから

弊社では、自社のリスクをすぐに確認できる資料無料でご用意しています。

【セキュリティ対策ガイド(無料)】

  • 本編:4つの抜け穴と対策を図解入りで解説
  • 自社診断チェックシート:1分で自社のリスクをセルフチェック
  • セキュリティ文言集:専門用語をすぐ引ける、上司や経営者への説明にも使える「お守り」

まずは資料でご自身の環境を確認してみてください。
「もう少し詳しく話を聞きたい」という方も、お問い合わせフォームからお気軽にご相談ください。

全4回のシリーズをお読みいただき、ありがとうございました!

ブログ一覧 これだけはやっておきたい、中小企業のネットワークセキュリティ】第3回|「クラウドバックアップ」の落とし穴と対策

スペックで
一緒に働きませんか?

採用情報
採用情報イメージ画像

ご質問・ご相談は
こちらから