セキュリティ教育で「人の脆弱性」をなくす

最近は、セキュリティ対策製品だけでなく「人を惑わす」サイバー攻撃が増えています。人を欺いたり、騙したりするような攻撃は以前からありましたが、標的型攻撃の登場によって、一般の企業がその被害を受けるケースが増えています。また、違和感が無くクリックしてしまうようなメールを装うなど、その手口が巧妙になってきており、ひっかからないためにも社員のITリテラシーを上げるための教育が必要となってきています。そこで今回は、セキュリティ教育の重要性について紹介します。

【目次】
・「デジタルネイティブ」世代が企業の主力に
・教育不足により発生するリスク
・セキュリティ教育の重要性と種類

「デジタルネイティブ」世代が企業の主力に

今でこそインターネットやスマートフォンは生活の一部、なくてはならないインフラとなっています。でも、振り返ってみると携帯電話やインターネットは1990年代半ばから、スマートフォンは2010年頃から一気に普及しており、その歴史は20年強と意外に短いことがわかります。これらが普及する前の時代を経験している人は、便利になったという実感がありますが、物心が付く頃からすでにこれらがある世代はどうでしょうか。

インターネットやパソコン、携帯電話などが幼少時代から周囲にある世代は「デジタルネイティブ世代」と呼ばれます。知らないことはインターネットを調べれば、ほとんど知ることができ、遠くにいる人ともSNSや無料通話アプリなどでリアルタイムに会話することができます。それが当たり前の世界で育ってきたわけです。こうした世代には、たとえば携帯電話がない時代の待ち合わせの苦労などは想像もできないことでしょう。

デジタルネイティブ世代では、中学と高校で「情報」という科目の教育を受けています。この科目では、インターネットの歴史や仕組み、セキュリティ、利用時の注意点なども学びますが、教育よりもITの進化が早いため、たとえば2017年の新成人はSNS（ソーシャルネットワーキングサービス）やスマートフォンなどについては学んでいません。

そして、デジタルネイティブ世代も成長し、社会人になってきています。これからは企業活動の中心戦力となって活躍していきます。IT機器には慣れ親しんでいるため、最新のデバイスもすぐに使いこなせます。しかし、その反面でインターネットを活用するリスクに対する意識は他の年代より希薄な印象があります。企業の一員としてIT機器やインターネットを使用する際のリテラシーを高めることも、企業の役割の一つでしょう。
 

デジタルネイティブ世代の年代イメージ

 

教育不足により発生するリスク

学校教育がITの進化に追いついていないことから、デジタルネイティブ世代は「ITは使いこなせるけどリテラシーは低い」という状況になっています。最近、若い世代のアルバイトがバイト中に不適切な写真をTwitterに投稿したり、プライベートで勤務先にやってきた有名人をSNSで公開したりといったことが問題になりました。こうした事件は、企業のイメージを大幅にダウンさせます。

事件を起こした当人は、ふざけてしたことで悪気はないのかも知れません。しかし、こういった行為が企業のリスクになってしまいます。これがエスカレートすると、企業の重要なファイルをSNSで公開したり、お金欲しさに情報を売り渡したりしてしまう可能性もあります。ただし、リテラシーの低さが原因ですから、しっかりした教育を受ければITの危険性について理解し、自分の行為がどのような影響を及ぼすのか想像できるようになるでしょう。

また、注意したいことはデジタルネイティブ世代に限りません。ある程度の年齢に達してからインターネットやスマートフォンが普及した世代にも注意が必要です。一般的に、60代以上の方は「難しそう」「なんだか怖そう」といった理由から、IT機器に触れることを嫌がります。もちろん、高齢世代の方でもIT機器を使いこなし、SNSを精力的に活用している方もいらっしゃいますが、「クリック」や「タップ」「ウインドウ」といった用語の理解も曖昧という方も少なからず存在します。

こうした年齢層でも、仕事ではメールのやり取りなどをしなければなりません。そこにつけ込むのが、標的型攻撃やスピアフィッシングと呼ばれるサイバー攻撃です。いずれも、添付ファイルや本文にあるリンクを開くよう促すような文面のメールを送り、マルウェア感染や偽ログイン画面に導こうとします。ITリテラシーが低いと、こうした攻撃に簡単に引っかかってしまいます。

さらには、「パスワードを覚えられないから」という理由で、仕事用のPCのモニターにIDとパスワードをメモして貼り付けていたりします。これでは誰でもIDとパスワードを知ることができ、その人になりすまして企業のシステムにログインされてしまう危険性があります。ITセキュリティの教育は全従業員に受けさせるべきですが、デジタルネイティブ世代と60代以上の年齢層は特に注意が必要です。
 

リスクの高い行為

 

セキュリティ教育の重要性と種類

不用意な情報公開や、危険なメールに違和感を覚えずにウイルス感染してしまうケースは、認識不足や勉強不足といったITリテラシーの低さに起因しています。まずは定期的なIT教育を普段から実施することが大切といえるでしょう。前述のように、デジタルネイティブ世代は十分な教育を受けていないので、しっかりと教育することで慎重にインターネットを利用するようになりますし、それは高齢世代や、さらにはその中間層でリテラシーが低い人においても同様です。

リテラシーの低さに起因する事件や事故は、今や企業にとって大きなリスクとなっています。そのため最近では、セキュリティ教育に注力する企業が増えています。では、どのように教育を行えばいいのでしょうか。多くの企業では年に一回、特に新入社員を対象とした教育を実施していると思います。しかし、こうした教育は社会人としての心得や常識といった内容が中心で、セキュリティについては基本的なことにしか触れないケースが多いようです。

サイバー攻撃は刻々と手法を変え、半年も経つと状況が一変することも珍しくありません。そのため、半年に一回は最新の情報に基づくセキュリティ教育を全従業員に対して実施することが理想です。社外からセキュリティの専門家を招いてセミナーを行ってもらうことが最適ですが、全従業員を集めることは大変ですし、コストもかかります。

一般的な教育方法には、セキュリティ関連会社が行うセミナーに交代で参加することや、こうしたセミナーを集中的に受けて社内に伝える「セキュリティに詳しい人材」を社内に作ること、オンラインセミナーを個別に受けさせること、社外のセキュリティ教育サービスを利用すること、最新のセキュリティ情報を社内で共有することなどが挙げられます。

セキュリティベンダーやSI会社が行うセミナーに部署ごとに交代で受講し、その資料などを社内で共有することも有効です。また、さまざまなセミナーを受けて社内に専門家を作り、定期的に各部署に対し教育を行う方法もあります。オンラインセミナーは、従業員各自が空いた時間に受講することができ、受講状況を管理者が把握することもできるので、より現実的といえます。

社外のセキュリティ教育サービスでは、教材を元に定期的な講習を実施したり、擬似的な標的型攻撃メールを従業員に送って、どのくらい添付ファイルを開いたかなどでセキュリティ意識を高めたりするものもあります。

サイバー攻撃は、より「人の弱点」を突くような手法が増えていますので、従業員のセキュリティ意識を高めることは喫緊の課題といえます。社内外での教育を密に行うとともに、普段のビジネス活動においてもリスクを含む行動に気づき、共有する企業風土を作ることも大切です。また、従業員のPC操作などを記録するようなソリューションを導入して、リスクの高い操作の抑止効果を狙う方法も有効といえるでしょう。
 

セキュリティ教育手法