脆弱ポイントの盲点!情報セキュリティ教育で企業を守ろう
かつては嫌がらせや世間を騒がせることで攻撃者の自己顕示力を満足させることが目的だったサイバー攻撃ですが、昨今では金銭につながる情報の窃取を目的にした攻撃が大半を占めています。銀行や宅急便、関係者を装ったフィッシングメールや、パソコンをこっそり乗っ取るウイルスを使って、『儲けるため』に攻撃しているのです。今やサイバー攻撃はお金になる『ビジネス』として成り立っており、それがさらに被害を深刻なものにしています。
そんな中、攻撃対象として最も狙われやすいのが企業。個人を攻撃するより、企業を相手にした方が深刻化しやすく莫大なお金を引っ張れますからね。
犯人は安全なポジションからじっくりと企業の脆弱性を見つけ出し、社内ネットワークに潜入し、ウイルスを仕掛け、企業内部のデータを収集する戦略を取るのが一般的です。収集データには、顧客情報や機密情報だけでなく、役員・社員のプライベートな情報や、部下に無理な指示をしているパワハラ・セクハラの実態も含まれているかもしれません。犯人はそれをネタに脅迫したり、名簿屋に売却したりするのです。
また近年急増している比較的新しい手口としては、潜入したコンピュータにランサムウェアというウイルスをしかけ、コンピュータ内のデータを暗号化して、データを人質に身代金を要求する方法もあります。被害に遭った企業のおよそ半数が身代金を支払うと言われており、成功率が高いのが人気の秘訣です。
とにかくサイバー攻撃は儲かることから、組織化され、闇ビジネスとして拡大しています。手口も巧妙化しているためトラップに気づきにくく、あの手この手で執拗に罠を仕掛けてくるのです。
不正アクセスって難しいんでしょ? いやいや、中学生でもできますよ!?
ネットワークに不正潜入と聞いて、ハッカー集団アノニマスみたいなのを想像してしまった方、ちょっと待ってください。
国家公安委員会が公開する「不正アクセス禁止法」に関する調査結果によると、検挙した被疑者の年齢で最も多いのが14〜19歳。2011年から2015年にかけての検挙数は261人で、全体の約33%が10代の犯行となっています。スキルに差はあれど、未成年でも不正アクセスは実行できるのです。
またランサムウェア(身代金要求型ウイルス)に関しては、中学生や高校生がLINEをつかってランサムウェアを売買したり、実際に使用したりする事件もありました。中学2年生の女子がランサムウェアを販売した価格は、Amazonギフトカード3,000円分だったとか。そんなもんで企業のパソコンが人質に取られたらたまったものじゃないですよね。
こうした蔓延するサイバー犯罪を受け、警視庁は2017年1月末に「ランサムウェアに要注意!」という特設ベージを開設。メールに添付されたファイルを開いたり、メールに記載されたリンクをクリックしたり、改ざんされた不正なウェブサイトを閲覧することでランサムウェアに感染する、と警告しています。
■警視庁:ランサムウェアに要注意!
http://www.keishicho.metro.tokyo.jp/kurashi/cyber/notes/ransomware.html
企業の情報セキュリティ教育は必要か?
さて、ここからが本題です。こうしたサイバー被害から企業を守るために、企業の情報セキュリティ教育について考えてみましょう。
まず、企業の情報セキュリティ教育は必要か?
記事冒頭で、「企業の脆弱性を見つけ出してネットワークに潜入する」と書きました。脆弱性とはセキュリティホールのことで、そうした弱い部分を守るための対策ツールはどんどん新しい技術が生み出されています。
しかし、脆弱性は何もコンピュータだけの話ではないのです。セキュリティ教育を受けていない社員も、脆弱ポイントなのです。
「わが社にはITに詳しい担当者がいるから大丈夫!」と思っていても、社員全員がしっかりとした知識を持っていないと、社員ひとりひとりが脆弱性そのものになってしまいます。
たとえば、SNSでプロフィール欄に勤務先を書いているITリテラシーが低そうな社員を探し出し、その者に対して上司や部下、取引先になりすますのです。相手を騙して、機密情報を直接聞き出したり、ウイルスを仕掛けた添付ファイルを開かせたりするという手口です。
そうして、社内ネットワークへの扉が開かれてしまうわけです。
うちは10人程度の小さな会社。情報セキュリティ教育は、まだいらないよね?
小規模な会社は、大企業のようにセキュリティに人や予算を割り当てられません。事実、会社の規模が小さくなるほど情報セキュリティ教育を行っていない、という統計もあります。
では、もう一度質問です。
あなたの会社のなかで、盗まれて悪用されたくない情報は何ですか。
顧客データ?
帳簿?
社員の個人情報?
もし、何かひとつでもあるのであれば、情報セキュリティ教育は必要です。
情報セキュリティ教育は、何も大げさなことばかりではありません。ごく当たり前に思えることでも、ひとつひとつルール化して、それを社員で共有することも情報セキュリティ教育です。
総務省は、「10代・20代はメールの利用率が下がっている」と実態を調査報告しています。スマートフォンの普及により、メッセンジャーやLINEなどの利用者が増加し、メールでさえも、ほとんど使ったことが無い若者がいることを想定しておなかいといけないのです。
- メールのTOやCC欄にたくさんのメールアドレスを入れない。
- 重要なファイルは、パスワードをかけて慎重に取り扱う。
- 会社で作ったデータを、無断で持ち出さない。
- パスワードの手書きメモを、他人が見えるところに貼らない。
- SNSに社内の写真や企業秘密を投稿しない。
犯人に標的にされなくても、無知が故に社員自らが情報を漏えいさせてしまうリスクもあるでしょう。でも、社員ひとりひとりが意識を高めることで、情報セキュリティを効果的高めることができるのです。
情報セキュリティ教育は、会社の規模に関わらず必ず行うようにしましょう。
情報漏えい発生!損害はいったいいくらになるのか……?
標的にされたにせよ、社員のうっかりにせよ、情報が漏えいすると、その被害は甚大なものになります。本サイトの別の記事では、10万件の個人情報が流出した際の対応費用の試算を行いました。その結果、費用はおよそ3億円にもなったのです。
・情報漏えいで企業が受ける大損失!対応費用はいくら?保険は効くの?
https://www.motex.co.jp/nomore/casestudy/5010/
また、漏えいした情報にマイナンバーが含まれている場合は、刑事罰の対象となり、管理者や経営者に対しては最高で懲役4年以下の罰則があります。
・自分のなりすましが現れるかも!?今すぐ確認すべきマイナンバー流出の危険性とは
https://www.motex.co.jp/nomore/casestudy/3030/
情報漏えいは、企業に大きな損害を与え、信頼を失墜させ、倒産の危機にまで追い込みます。
終業時、オフィスには鍵をかけますよね。
情報セキュリティ教育は、それと同じくらい必要不可欠なものなのです。何もしないより、まずは少しずつ。
1980年代のパソコン黎明期よりコンピュータを愛し、90年代後半のインターネット普及とともにその想いは加速。音楽業界でウェブマガジン編集長を経歴し、現在フリーランスとしてライター、映像編集など多業界で活動中。コンピュータのウィルス感染に加え、実生活では空き巣にやられた経験も持つ。NO SECURITY, NO LIFE.