セキュリティ意識を向上させる重要性。業務情報の安全を守るには

業務におけるITシステムの導入やテレワークの導入などが普及したなか、技術的なセキュリティ対策だけでなく、従業員一人ひとりのセキュリティ意識が重要となっています。従業員のセキュリティ意識を向上させるには、情報システム部門（以下、情シス）から社内全体へと働きかけることが欠かせません。

​​​​​​​この記事では従業員のセキュリティ意識について、重要性や低い場合のリスク、向上させる方法を解説します。

なお、情シスが取り組むセキュリティ対策についてはこちらの記事で詳しく解説しています。併せてご確認ください。

企業のセキュリティリスクに関してはこちらの資料をご確認ください。

セキュリティ意識を向上させる重要性

従業員のセキュリティ意識を向上させることは、テレワークへの対応やサイバー攻撃への対策として重要です。

テレワークにおいては従業員が社外から業務の情報を扱うため、セキュリティ上の統制が難しくなります。社外での情報の扱い方を従業員一人ひとりに意識してもらうことが欠かせません。

また、サイバー攻撃についても対応方法を社内で共有しておくことが必要です。例えば標的型攻撃メール（※）を受け取った一人の従業員が対応を誤った場合、社内全体の被害につながる可能性があります。

なお、中小企業におけるセキュリティ対策の重要性はこちらの記事で詳しく解説しています。併せてご確認ください。

※標的型攻撃メールとは、標的となる企業・組織の関係者がメール内のリンクや添付ファイルを開くことでウイルスに感染するように仕組まれたメールのことです。

セキュリティ意識が低い場合のリスク

従業員のセキュリティ意識が低い場合に具体的に生じるリスクとしては、情報の紛失・漏えいや端末の乗っ取り、ランサムウェアへの感染などが挙げられます。

なお、企業のセキュリティリスクに関してはこちらの資料をご確認ください。

業務に使用する情報の紛失・漏えい

従業員のセキュリティ意識が低い場合、業務に使用する情報が紛失・漏えいしやすくなります。

▼情報の紛失・漏えいの例

• 情報の管理が十分でないことで第三者に盗まれる
• 情報を保存した端末が紛失して他者の手にわたってしまう　など

情報の紛失・漏えいが生じた場合、企業全体に対する社会や顧客からの信用の低下にもつながります。

端末への不正アクセスによる乗っ取り

従業員の端末が不正アクセスされて乗っ取られるリスクです。特に、端末に推測されやすいパスワードを設定している場合は不正アクセスされやすくなります。

端末を乗っ取られた場合、端末内のデータを盗まれるだけでなく、その端末を経由して社内全体への被害につながります。

また、乗っ取られた端末が第三者へのサイバー攻撃に利用される可能性もあります。

ランサムウェアへの感染

セキュリティ意識が低い場合、サイバー攻撃に利用されるランサムウェアへの感染リスクが生じます。ランサムウェアに感染すると、端末に保存されているデータが暗号化されて使用できなくなります。

また、ランサムウェアを用いたサイバー攻撃では、暗号化されたデータの復号化と引き換えに身代金を要求したり、暗号化の際に盗んだデータを公開すると脅したりする手口が見られ、金銭的な被害にもつながります。

なお、ランサムウェアの感染経路や対策についてはこちらの記事で解説しています。併せてご確認ください。

セキュリティ意識を向上させて業務情報の安全を確保する方法

セキュリティ意識を向上させて業務情報の安全を確保するには、従業員や運用する情シスに過度な負担がなく、継続的に実施できる対策が必要です。

具体的には、情報セキュリティポリシーの明文化や情報セキュリティ教育、シミュレーション・訓練などの方法が考えられます。

情報セキュリティポリシーを明文化する

情報セキュリティ対策の実施と運用についての指針を、情報セキュリティポリシーとして明文化します。

▼情報セキュリティポリシーに記載する内容

• 情報セキュリティ対策における基本的な方針
• 部署・システムごとの情報セキュリティ対策の基準
• 情報セキュリティ対策の具体的な実施フロー

情報セキュリティポリシーを共有することで、社内全体におけるセキュリティ意識の向上が期待できます。

情報セキュリティ教育を行う

情報セキュリティに関する基礎や注意点、リスクなどについて教育を行い、従業員に情報セキュリティの意識を根付かせることが重要です。

情報セキュリティの重要性が教育によって浸透することにより、セキュリティに関する社内のルールも遵守されやすくなると期待できます。

なお、サイバー攻撃は日々巧妙化しているため、最新のセキュリティ情勢を教育に反映する必要があります。

情シスによるIT教育についてはこちらの記事で詳しく解説しています。併せてご確認ください。

シミュレーション・訓練を行う

サイバー攻撃に関する実践的なシミュレーション・訓練は、従業員のセキュリティ意識を向上させるために有効な施策です。

例えば、架空の標的型攻撃メールを従業員に送信する方法が考えられます。実際に体験することで、従業員がサイバー攻撃への正しい対応を身につけられます。

また、サイバー攻撃を受けた場合だけでなく、情報漏えいが発覚した際の訓練も必要です。実践しておきたい訓練の内容には、以下が挙げられます。

▼情報漏えいのインシデントを想定した訓練の内容

• 情報漏えいが発覚した直後の暫定対策
• 原因の調査（漏えい元や手段について）
• 顧客・警察・関係機関などへの報告
• 原因を踏まえた恒久対策　など

まとめ

この記事では、従業員のセキュリティ意識について以下の内容を解説しました。

• セキュリティ意識を向上させる重要性
• セキュリティ意識が低い場合のリスク
• セキュリティ意識を向上させて業務情報の安全を守る方法

テレワークによるリスクやサイバー攻撃の脅威に対応するためには、技術的なセキュリティ対策だけでなく従業員一人ひとりのセキュリティ意識を向上させることが重要です。

セキュリティ意識が低い場合、情報の紛失・漏えいや端末の乗っ取り、ランサムウェアへの感染などのリスクが生じます。

情報セキュリティポリシーを明文化したうえで情報セキュリティ教育やシミュレーション・訓練を実施することで、社内のセキュリティ意識を向上させられると期待できます。

『FGLテクノソリューションズ』の社内システム運用管理サービスでは、情報システム部門や管理部門が対応している業務を代行するITアウトソーシングサービスを提供しています。ICT領域のプロフェッショナルとして、貴社の課題とご要望を踏まえたサービスをご提案いたします。

詳しくは、こちらの資料をご確認ください。