情報セキュリティにおける脅威の特徴の一つとして、わずかな脆弱性であっても、そこを突かれると被害が拡大してしまうことがあります。パソコンやスマートフォンを利用する人でも、どこかに綻びがあればそこをついて情報の漏えいなどの被害に繋がる可能性があるのです。
特に気を付けなければいけないのが、新入社員です。サイバー犯罪者は、新入社員であろうとなかろうと関係なく、常にセキュリティ脆弱性を狙っています。特に入社したばかりで情報セキュリティに関する知識・対応スキルがない新入社員は、サイバー犯罪の格好のターゲットとなってしまう危険性があるのです。
そんな新入社員に、一定以上の情報セキュリティの知識をつけることのできる方法として、情報セキュリティ研修を利用する方法があります。本記事では、情報セキュリティの重要性の再確認と近年の傾向、情報セキュリティ研修についてご説明いたします。
また、効率的/効果的な情報セキュリティ研修の方法をご検討中の企業様には、情報セキュリティ教育クラウド「セキュリオ」でのeラーニング教育がオススメです。
- 70種類以上の中からの教材選定
- ボタン一つで教材・テスト配信
- 自動集計された受講結果・採点結果の確認
という3ステップでの従業員セキュリティ教育が可能です。
もちろんPマーク教材も多数取り揃え、他にも標的型攻撃メール訓練、セキュリティトレーニングを通じた従業員のセキュリティレベルアップが実現できます。
情報セキュリティ研修の重要性
一般社団法人 日本損害保険協会の「中小企業のリスク意識・対策実態調査2021」調査結果報告書によると、5.8%の企業がサイバーリスクによる被害を被ったことがあり「とても深刻であり」あるいは「やや深刻である」と考えている企業を合わせると、全体の62.2%にも及びます。
サイバーリスクについては、企業の規模にもよりますが、企業内で保有するデータの重要性や量などが関係する問題であり、中小企業でも大きな被害に繋がる可能性があります。
企業がセキュリティリスクを軽減するには「オペレーション」「システム」「人間」の3つの側面から考える必要がありますが、この中でもっとも重要なのは人間です。オペレーションにおけるルールを定め、システムを利用したとしても、利用する人間によってセキュリティ事故が起きてしまう可能性は残るからです。
従業員一人一人のセキュリティリテラシーが低いと、セキュリティ被害を受ける可能性が高まってしまうため、セキュリティリテラシーを向上させるために情報セキュリティ研修が不可欠なのです。
特に新入社員に向けた情報セキュリティ研修は必須
企業内で人的な脆弱性となり得てしまうのが新入社員です。新入社員には、情報機器、データを取り扱う前に適切な研修を受けていないと、簡単にサイバー攻撃の餌食になりかねません。そのため、はじめに、情報セキュリティ研修を行い正しい知識や行動を身に付けさせることが大切です。
事前に知識のない新入社員にとっても、情報セキュリティについて体系的に学べ、ポイントを押さえることができる研修は効率の良い学習方法です。研修により、特に重要となるポイントを意識づけ、業務に向かえるレベルの情報セキュリティリテラシーを身に付けることができます。
近年のサイバー攻撃の動向
独立行政法人情報処理推進機構(IPA)では、毎年情報セキュリティの10大脅威をまとめて発表しており、サイバー攻撃におけるトレンドを押さえることのできる情報源となっています。情報セキュリティ10大脅威 2022によれば、組織へのサイバー攻撃の上位3位までは下記でした。
1位:ランサムウェアによる被害
独立行政法人情報処理推進機構ではランサムウェアについて以下のように解説しています。
ランサムウェアとはウイルスの一種である。PCやサーバーが感染すると、端末のロックや、データの暗号化が行われ、その復旧と引き換えに金銭を要求される。また、重要な情報が窃取されることもあり、社会的信用を失うおそれがある。さらに、復旧に時間が掛かる場合、更なる経済的損失につながるおそれもある。
独立行政法人情報処理推進機構 「情報セキュリティ10大脅威2022」
ゲーム大手「CAPCOM」の事例なども記憶に新しいところです。ランサムウェアについては、下記の記事も参考にしてください。
2位:標的型攻撃による機密情報の窃取
独立行政法人情報処理推進機構では標的型攻撃について以下のように解説しています。
標的型攻撃とは、特定の組織(官公庁、民間団体、企業等)を狙う攻撃のことであり、機密情報等を窃取することや業務妨害を目的としている。攻撃者は社会の変化や、働き方の変化に便乗し、状況に応じた巧みな攻撃手法で機密情報等を窃取しようとする。
独立行政法人情報処理推進機構 「情報セキュリティ10大脅威2022」
標的型攻撃メールやスピアフィッシングなどの手法を用いた攻撃により、被害が拡大しています。詳細については下記の記事も参考にしてください。
3位:サプライチェーンの弱点を悪用した攻撃
独立行政法人情報処理推進機構では標的型攻撃について以下のように解説しています。
商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼ぶ。このサプライチェーンの関係性を悪用し、セキュリティ対策の強固な企業を直接攻撃せずに、その企業が構成するサプライチェーンの中でセキュリティ対策が手薄な関連組織や利用サービスの脆弱性等を最初の標的とし、そこを踏み台として本命の標的である組織を攻撃する手口がある。関連組織に預けた情報が漏えいしたり、本来の標的である企業が攻撃を受けたりすることで被害が発生する。
独立行政法人情報処理推進機構 「情報セキュリティ10大脅威2022」
自社と取引先や委託先とで共同で使用しているソフトウェアの脆弱性に対してサイバー攻撃を仕掛けられることで、間接的あるいは段階的に攻撃の対象とされるのがサプライチェーンの弱点をついた攻撃です。この攻撃を受けることで、自社だけでなく取引先へも被害が拡大する恐れがあります。
サプライチェーンのリスクマネジメントについては、下記の記事も参考にしてください。
新入社員向け情報セキュリティ研修なら「セキュリオ」
情報セキュリティ教育クラウド「セキュリオ」のeラーニングを使えば、新入社員向け情報セキュリティ研修も3ステップでラクラク・効果的に実施できます。
ISMS/Pマークコンサル監修の安心の教材が70以上の中で、新入社員向けの教材も多数取り揃えております。
ご利用できる教材については、こちらでサンプルを公開しております。貴社に合う教材があるかどうか、お確かめください。
また、「セキュリオ」では、今や必須となった標的型攻撃メール訓練や独自のセキュリティトレーニングで従業員のセキュリティレベルアップ、日ごろからの意識向上を実現できます。
まずは14日間の無料トライアルで、従業員教育を始めましょう。
まとめ
この記事では、情報セキュリティ研修について解説してきました。
どんなに高度なソフトウェアを使ってセキュリティ対策をしていても、それを利用する従業員の意識が低かったり知識が身に付いていないと情報漏洩が発生してしまいます。
本記事をご参考の上、ぜひ社員に対するセキュリティ研修をご検討いただけますと幸いです。