日常業務における情報セキュリティリスクを低減―一般社員への効果的な教育・訓練とは

2023年4月配信（2023年5月30日公開） Column

企業の情報セキュリティレベル向上には、ポリシーを定めてシステム対策などを導入することに加え、情報を扱う「人」の教育・訓練も重要です。Eメールやインターネットの利用に関するサイバーサイバーセキュリティの脅威が多く、日常業務からの被害も増えています。社員一人ひとりのセキュリティ意識向上のためにも、訓練や教育が必要です。

1. サイバー攻撃対策の主役は「人」。セキュリティ教育への正しい投資を

企業におけるIT・デジタル技術利活用は、業務の効率化だけでなく、競争優位性を得るために必須となっています。その一方で、サイバー攻撃は年々高度化・複雑化し、企業経営に深刻な打撃を与える事件もたびたび起きています。サイバー攻撃は、不正なプログラムによって企業のシステムの脆弱性を突くという印象が強いですが、そのような攻撃の侵入を許す原因は、企業で働く「人」です。インターネットやEメールの利用による攻撃の例や、それらを防ぐ経営者ならびにセキュリティ管理者の役割について紹介します。

1-1. インターネットやシステム利用時の脅威

情報システムやインターネットは、業務に欠かせないものとはなっていますが、適切なセキュリティ対策がなければ、機密情報の漏えいリスクがあり、気が付かないうちに攻撃の踏み台とされる場合もあります。

IPA（独立行政法人情報処理推進機構）が2023年2月に発表した「情報セキュリティ10大脅威 2023」によると、組織編では「標的型攻撃による機密情報の窃取」「内部不正による情報漏えい」「テレワーク等のニューノーマルな働き方を狙った攻撃」「不注意による情報漏えい等の被害」、個人編では「フィッシングによる個人情報等の詐取」「インターネット上のサービスからの個人情報の窃取」「インターネット上のサービスへの不正ログイン」がランクされています。システムやインターネットを利用する人への攻撃や、不注意、不正が脅威となっているのです。

社内システムを利用するためのIDやパスワードなどの認証管理や、社外のWebサービスの利用、USBメモリ利用などのルールを定めることが重要です。社外から自社システムやインターネットを利用する際にも、公衆Wi-Fiを利用しない、画面の盗み見をさせない、端末を紛失しても情報を漏らさない仕組み作りも必要です。そして、これらの取り組みを全社員に周知し徹底するための教育・訓練が必要です。

1-2. Eメールによる標的型攻撃の脅威

サイバー攻撃者にとって、Eメールも有効な手段です。「情報セキュリティ10大脅威 2023」にランクされている、「標的型攻撃による機密情報の窃取」「ビジネスメール詐欺による金銭被害」「メールやSMS等を使った脅迫・詐欺の手口による金銭要求」「フィッシングによる個人情報等の詐取」などは、Eメールを介した脅威と言えます。

マルウェア（不正・有害な動作を意図して作られたソフトウェア）被害の多くは、Eメール攻撃によって引き起こされています。Eメール攻撃の手口は、仕事に関連した内容に見せかけるなど巧妙化しています。社員が意図せずマルウェア感染を引き起こし、情報漏えいや金銭要求、業務停止、信用失墜など、重大な損失を与えてしまう可能性があります。

Eメールを受信した人の対応に起因した被害であり、セキュリティソフトなど技術的な対策だけでは防ぐことはできません。Eメールの扱いについても、全社員に教育が必要です。

1-3. 経営者及びセキュリティ管理者の役割とは

経産省・IPAによる「サイバーセキュリティ経営ガイドライン Ver 2.0」では、サイバーセキュリティは経営問題だとし、経営陣への適切な投資を求めています。セキュリティ対策をコストではなく、将来の事業活動・成長に必須な投資ととらえることが必要で、経営者が責任持って取り組むべき課題となっています。

投資には一般社員に対する教育も含まれます。サイバーセキュリティリスクを経営リスクの一つとして認識し、組織全体での対応方針であるセキュリティポリシーを策定し、社員が容易にアクセス可能な場所へ掲示し、社員教育などによって徹底を図ることが求められています。セキュリティリスクに対応するための保護対策（防御・検知・分析など）としては、マルウェア対策ソフトの導入やソフトウェア更新の徹底、不審なメールを受信した場合の対応などについても社員への教育を行い、適切な対応ができる組織づくりが必要とされています。

このほか、サイバーセキュリティ対策を改善していく体制の構築や、インシデントが発生した場合に備えた対処・復旧のための訓練も必要となります。

2. 日常業務での注意点を周知し、強い組織になるには

経営者やセキュリティ管理者には、社員の役割に応じたセキュリティ教育の実施が求められています。自組織でセキュリティ人材育成を実施することが困難な場合は、外部の組織が提供する研修や教育プログラムなどを利用する方法もあります。では、情報システムやインターネット利用時の脅威に対処するにはどのような教育が適切なのでしょうか。

2-1. 一般社員に対する教育に必要な条件

サイバーセキュリティの脅威や適切な対策に関する周知が行われていない組織は、サイバーインシデントが発生した場合、被害が拡大するリスクが高くなります。サイバーセキュリティ教育は、IT部門やシステム担当者だけでなく、すべての社員が対象となります。このため、体系化された知識をレベルに応じて学べること、なるべく手軽に学べることが重要です。

体系化された知識という面では、サイバーセキュリティを専門とする組織が作成した、実績のある教育コンテンツが良いでしょう。あらゆるレベルの社員が学べるよう、身近な日常業務から、情報漏洩や標的型攻撃などのリスクをわかりやすく伝える教育コンテンツが望ましいです。手軽さという面では、受講対象者がインターネットを介して、パソコンやスマートフォンで好きな時間に受講できるEラーニング形式が適切です。

2-2. IT担当・セキュリティ管理者に求められること

経営者やIT担当者、セキュリティ管理者は、サイバーセキュリティに関する組織内の指標を定め、経営リスクに関する組織内の会議体において状況を共有すべきです。その指標のひとつとして、サイバーセキュリティ教育の受講率や理解度などがあります。社員への教育の投資効果を確認し、組織全体のレベル向上に努めなければならないのです。

そのため、サイバーセキュリティ教育において受講者の理解度などを確認する手段が求められます。Eラーニング形式であれば、知識をわかりやすく提供するだけでなく、受講者の理解度を確認できるテストを実施して復習を促したり、管理画面で受講状況を把握する機能が求められます。

2-3. GSXのEラーニングサービス「Mina Secure ®」

グローバルセキュリティエキスパート株式会社（GSX）では、情報セキュリティ、サイバーセキュリティを専門領域として、数多くの企業にコンサルティングサービスを提供しています。これまで培ったノウハウをもとに、全社員向けのわかりやすいEラーニングサービス「Mina Secure ®」を提供しています。

GSXには年間3000件以上もの情報セキュリティ対策に関するご相談をいただきます。その半数が教育に関するもので、Mina Secureの2023年3月期のご利用アカウント数は前年比180％増と好評をいただいています。

システム利用やインターネット利用など、日常業務に潜むサイバーセキュリティリスクについて、わかりやすい言葉を使ったアニメーションにより学べるサービスで、PCだけでなくスマートフォンでも受講できます。

セキュリティの意識を持つ必要性や、サイバー犯罪が増加する背景、セキュリティインシデントが及ぼす影響から、Eメールの利用、インターネットの利用、リモートワークにおける注意点、インシデント発生時の対応など、経営層から一般社員まで必要な知識が学べるコンテンツを提供しています。また、IPAが注意を喚起している「情報セキュリティ10大脅威」を解説するコンテンツもあります。

管理者向けには、受講状況を把握できる管理画面や、受講を促すメール配信、アンケート作成・確認の機能を用意しているため、サイバーセキュリティの指標管理にも活用できます。

Mina Secure ®

https://www.gsx.co.jp/services/securitylearning/minasecure.html

3. 標的型メールによる攻撃は、訓練で防ぐ

標的型メールによる攻撃とは、特定の人物、組織、企業を狙い撃ちし、そのターゲットに潜む情報を盗み出すためにEメールを利用する攻撃手法のことです。巧妙な手口でマルウェア感染をさせ、情報漏えいやデータ改ざん、システムの破壊活動などのきっかけとなります。

技術的対策として、エンドポイントセキュリティやメールフィルタリング、SWG（Secure Web Gateway）の導入は有効ですが、それらをすり抜けて社員に攻撃メールが届いてしまうこともあります。対処する「人」のセキュリティ意識や、マルウェア感染時の対応などの知識・経験も重要な対策です。そのために、手口を似せた疑似的な攻撃メールによる訓練が有効です。

3-1. 標的型メールによる攻撃への訓練とは

標的型メールによる攻撃への訓練は、全社員を対象に標的型攻撃を模した無害なEメールを送信するものです。訓練のための疑似的な攻撃メールを開封してしまった社員には、教育コンテンツを表示しますが、一番の効果は標的型攻撃の手口を体験したことそのものです。そのため、開封しない場合でも、怪しいメールが届いた場合の判断や社内窓口への通報など、体験による意識向上ができます。

こうした訓練を定期的に実施することで、全社のセキュリティ意識と、最新のEメールによる攻撃への防御力の向上が期待できます。

3-2. 訓練を成功させるには

標的型攻撃の訓練を成功させるには、適切な目的の設定が重要です。開封率の低下だけを目的にしてしまい、開封してしまった社員を責めるようなことがあってはいけません。個人攻撃ではなく、社内にどんな課題があるかを明らかにし、改善につながる活動を推進すべきです。

定期的な訓練が陳腐化してしまわないように、最新の手法を反映すべきです。また、メール開封率だけでなく、社内窓口への通報までを訓練対象とすることで、レベルの向上も可能です。

3-3. GSXの標的型メール訓練サービス「トラップメール」

GSXでは、企業や組織を狙う標的型攻撃メールへの対応を模擬形式で訓練できるサービスとして「トラップメール」を提供しています。あらゆる規模の企業に対応し、導入実績は11,000社以上、送信累計アドレスは760万以上と、国内シェアNo.1のサービスです（ITR「ITR Market View：サイバー・セキュリティ・コンサルティング・サービス市場2022」標的型攻撃メール訓練サービス市場－ベンダー別売上金額推移およびシェア）。

GSXより無害な疑似的攻撃メールを対象者に送信し、受信者がメール文面に含まれるURLリンクをクリック、または添付ファイルを開封した場合、警告と教育コンテンツを表示するとともに、開封した日時等のアクセスログをGSXが取得します。メールの内容も、ビジネスメール詐欺やランサムウェアなど、攻撃手法にあわせたアレンジが可能です。配信終了後にはアンケートも実施し、所属部署や役職別の分析や同業他社との開封率の比較などを含めた訓練結果レポートを提出します。

訓練と開封ログデータのみのシンプルなものから、EラーニングサービスのMina Secureも含めたトータルなセキュリティ教育まで、目的に応じたプランを選択できます。

IT・システムコンサルティングやソフトウェアの提供・保守などを展開する兼松エレクトロニクス株式会社では、全社のセキュリティ意識向上を目指し、Mina Secureによる教育と、トラップメールによる訓練を実施しました。3社のサービスを比較し、実績やコンテンツの豊富さが決め手となり採用に至りました。成果として、セキュリティ関連教育を企画する部門の負担を軽減しながら、有事を体験することで、全社でのセキュリティ意識向上に向けたアクションに踏み出せたといいます。

トラップメール

https://www.gsx.co.jp/services/securitylearning/trapmail.html

セキュリティ教育・訓練は、実績豊富なGSXにおまかせください

組織の情報セキュリティレベルを高め、サイバー攻撃から身を守るには、システム導入だけでなく、人材教育への適切な投資も必要で、経営者に求められる責務でもあります。

全社員のセキュリティ意識を向上していくには、適切な教育プログラムや訓練と、フィードバックを続けていくことが重要です。GSXでは、情報セキュリティの専門組織としてのノウハウを活用したサービスを提供し、多くの組織に利用いただいています。

教育プログラムや、標的型攻撃への対応訓練など、組織の実情に応じたプランを提供可能です。豊富なノウハウで効果の高い訓練を実現し、お客様のセキュリティレベル向上に貢献してまいります。