トラブルを報告しない従業員をゼロにするには？
情報セキュリティ意識を高める方法を解説

情報セキュリティインシデントとは、企業にとって情報セキュリティに関する好ましくない出来事のことです。これにはウイルス感染もあれば、従業員による内部不正、自然災害や設備不良による故障なども含まれます。主な例を紹介します。

〈不正アクセス〉

不正アクセスとは、アクセス権をもたない第三者がコンピュータに対して不正な侵入を行う、およびコンピュータを乗っ取ることをいいます。不正アクセスの手口は、Webサイトの脆弱性を狙う、ログインのためのアカウントを乗っ取る、などさまざまです。また、ホームページの改ざん、システムの破壊、迷惑メールの中継に利用される、バックドア（※1）を仕掛けられていつでも外部から侵入できるようにされる、など被害種類も多岐にわたります。

〈マルウェア感染〉

マルウェアとは、Malicious（悪意のある）とsoftware（ソフトウェア）を組み合わせた造語で、悪意あるソフトウェアの総称です。コンピュータウイルスもマルウェアの一種で、そのほかワーム（※2）、トロイの木馬（※3）などがあります。マルウェアに感染すると、コンピュータは不正かつ有害な動作を行い、内部情報を外部に流出させたり、ほかのコンピュータに感染を拡大させたりします。

〈DoS/DDoS攻撃〉

DoS（ドス）攻撃とは、一台のパソコンで大量のアクセスやデータ送信を行い、負荷をかける攻撃のことです。これに対してDDoS（ディードス）攻撃は、大量のパソコンを踏み台にしてDoS攻撃を行うという手法です。どちらも迷惑なサイバー攻撃ですが、特にDDoS攻撃は企業にとってより大きな損失につながる脅威といえます。

〈情報漏洩〉

重要な機密情報や顧客リストなどが外部に流出してしまう情報漏洩の原因はさまざまですが、外部からの攻撃だけでなく、内部不正による漏洩もあります。また、紛失や盗難からデータが外部に漏れる可能性もあります。

〈自然災害〉

地震、豪雨、落雷など、天災によってセキュリティ設備が故障することも情報セキュリティインシデントのひとつに数えられます。対策として、重要なデータは複数の遠隔地に分散して保管する。という企業も増えています。

※1 直訳では「裏口」。コンピュータに不正に侵入するための入り口のことを指す。
※2 英語で「虫」の意。ネットワークを介し、自身を複製して拡散させる伝染機能を持つプログラム。
※3 正規のソフトフェアなどになりすまし、ユーザーに気づかれないよう攻撃する。近年はパソコンだけでなくスマートフォンでも被害が発生。

「IPA 独立行政法人情報処理推進機構」セキュリティセンターでは、全国の中小企業の従業員1,000人に対してアンケート調査を実施しました。
そのアンケートによると、過去3年間でサイバーセキュリティ上の事故やトラブルを経験した中小企業従業員は10.5%。さらに、情報管理関連のルールが策定されている勤務先において、5人に1人は情報管理のルール違反経験があり、経験した事故やトラブルの約半数は会社や上司に報告していないことが判明しました。
また、企業として事故やトラブルを公表・公開した事例は41.0%と半数以下。報告や公表がされるトラブルは氷山のほんの一角であって、「かくれサイバートラブル」は相当数に上るものと見られています。
こうしたことから、トラブルを防ぐ仕組みづくり、そしてセキュリティ意識の向上を啓発する必要性が課題として浮かび上がってきました。

情報セキュリティインシデントの発生事例

では、実際に起きた事例をいくつか見てみましょう。

〈不正ログインが多発〉

ある製薬会社の運営する会員サイトに不正アクセスが行われ、ログインIDとパスワードが閲覧されるという事件がありました。なりすましによる不正ログインが断続的に発生したため、会社としてはすべての会員のログインパスワードの初期化を余儀なくされました。

〈標的型攻撃によってウイルス感染〉

ある大手旅行会社では、取引先を装った標的型攻撃メール（※4）に添付されていたマルウェアを実行したところ、パソコンがウイルスに感染。これによって会社のサーバに外部から不正アクセスがあり、個人情報を含むデータファイルの作成や削除が行われました。

〈顧客の個人情報を窃取〉

ある大手キャリアでは、グループ内において派遣社員が業務で取得した顧客の個人情報を立て続けに外部へ流出させる事件が発生しました。悪質なケースとして、クレジットカード番号を窃取し、詐欺グループに売り渡すという事態まで起きました。

〈暗号通貨取引所が狙われた〉

暗号通貨（※5）取引所を運営する会社において、外部のドメイン（※6）登録サービスで、ネームサーバ（※7）情報が書き換えられるインシデントが発生しました。従業員が小さな違和感に気づいたことで、進行中のサイバー攻撃を食い止めることができました。

※4 標的型攻撃とは、機密情報の窃取などを目的として特定の組織や個人を狙う攻撃のこと。業務のメールを装ったウイルス付きメールが送られてくる手法が多い。
※5 銀行など第三者を介することなく、インターネット上で財産的価値をやりとりすることができる仕組み。暗号資産（仮想通貨）とも。
※6 インターネット上の住所に当たるものを「IPアドレス」といい、IPアドレスをわかりやすく文字列にしたものを「ドメイン」と呼ぶ。
※7 通信時にドメイン名をIPアドレスに変換する仕組みを提供するサーバ。DNS（Domain Name System）サーバとも。

情報セキュリティインシデントが発生したら、迅速な対応が何もよりも必要ですが、事前対策として普段から情報セキュリティ体制を整えておくことも忘れてはなりません。事前対策に必要なポイントを紹介します。

〈OS、ソフトウェアを最新の状態にする〉

古いOS（オペレーティングシステム）やソフトウェアは、サイバー攻撃にとって格好の狙い目です。セキュリティホールと呼ばれる脆弱性が狙われ、ウイルスに感染するおそれがあります。OSとソフトウェアは最新の状態にしておくことが必要です。

〈セキュリティソフトやツールを導入する〉

ウイルス対策としてセキュリティソフトの導入は必須です。インストール後は、自動更新設定などにより継続的にウイルスを排除するようにしましょう。また、UTM（※8）の導入も効果的です。UTMによって集中管理することで、さまざまなネットワークの脅威に備えることができます。

〈パスワードを強化する〉

パスワードは、第三者に特定されないよう英字、数字、記号なども含めた複雑なものに設定すること、また定期的に更新すること、さらに同じパスワードを使い回さないこと、などが重要です。

〈機器の取り扱いに気をつける〉

ノートパソコンやタブレットなどの端末を社外に持ち出すことで、脅威にさらされるケースもあります。USBなど記憶媒体の取り扱いにも注意が必要です。

〈共有・許可範囲の見直しをする〉

必要に応じて、Webサービスやクラウドサービスの共有範囲の設定、社内ネットワークのアクセス許可範囲の設定などを見直すことも大切です。例えば、退職者が社内情報を閲覧できる状態になっていないか、定期的に確認が必要です。

事前にルールを決めておくことの重要性

これらをひと言で集約すれば、情報セキュリティマネジメントを遂行するための体制づくりをしておく、ということです。
しかし、セキュリティ対策は必要であるものの、サイバー攻撃がますます巧妙化し、自然災害のような不測の事態も考え合わせると、インシデントを完全に防ぐことは難しいかもしれません。そのため、万が一に備えて「もしインシデントが発生したら」というルールづくりをしておくことも重要です。例えばコンピュータがウイルスに感染した場合、他への感染を防ぐために該当コンピュータを社内ネットワークから即座に切り離す、といったことを決めておくことです。
事前対策によってインシデントを防止できるのがもちろんベストですが、起きてしまった際の被害を最小限に抑える事後の対応フローも考えておくこと。そして今後同じようなインシデントを繰り返さないためにも、再発防止策を検討することが大事です。

※8 Unified Threat Managementの略で、日本語では「統合脅威管理」。包括的なセキュリティ機能を集約したツールのこと。

さて、これまでは主にシステム面での対策を紹介してきましたが、ここで視点を変えて、あるインシデントの事例を紹介したいと思います。新交通システムを運行する会社で、臨時社員の小さなミスが大きな問題に発展したという事例です。

「上司に怒られると思った」

臨時社員のミスを発端とした経緯は以下の通りです。

臨時職員が自身の記載ミスにより、売上金が集計額より800円上回っていたことが発覚。臨時社員は「上司に怒られる」ことを恐れ、差額の800円を抜き取り、個人用ロッカーに保管。
↓
4日後、本社部門の審査により売上金の不足が発覚し、持ち出しの事実が臨時社員の上司に伝えられる。事実を知った上司から臨時社員への叱責の言葉が、後日「業務上の必要性を逸脱した暴言」と認定。

この通り、臨時社員のミスをきっかけとして、その臨時社員に対する上司からの言葉が、精神的苦痛を与えるパワハラに認定されるという事態にまで発展してしまいました。

親切心から出た行為なのに…

さらに不祥事は飛び火します。臨時社員の行為が社内の懲罰委員会にかけられているときのことです。その委員を務める係長級の社員が臨時社員の職場を訪れ、審議公表前であるにもかかわらず、審議内容を別の社員たちに話してしまったのです。
その社員は、「本人がいなかったので伝言を頼んだ。落ち込んでいたため先に知らせてあげたかった」と話し、親切心から出た行為だと弁明しましたが、会社は情報漏洩であると判定しました。
結果、売上金を持ち出した臨時社員は７日間の出勤停止に、パワハラ行為の上司は1日の出勤停止に、さらにふたりへの管理監督責任を問われて、その上司である別の社員が減給処分に。そして情報漏洩の係長級の社員は、降格という重い懲罰処分を受けました。

以上の事例はIT関連のインシデントではありませんが、

• 小さな出来事がきっかけとなって負の連鎖が続いてしまった
• 最初は従業員のささいな隠蔽（報告漏れ）だった

という点で、示唆に富んだ教訓を含んでいるように思われます。
どの会社も大なり小なり「他人事とは思えない」というところがあるのではないでしょうか。

先に紹介した事例のそもそもの問題点は、従業員が「ミスへの後ろめたさや怒られてしまう」と考えてしまったことです。これは情報セキュリティインシデントが起きた場合、例えばサイバー攻撃にあったような場合でも同じことです。従業員が「後ろめたさや怒られてしまう」と思ってしまったら、上司に報告しないということが起きてしまいます。

そうならないためには、会社として報告しやすい環境づくりや雰囲気づくりをすることが大切です。従業員全員がITに詳しいわけではありません。巧妙に偽装されたマルウェアに引っかかっても、その人をとがめない、怒らない、そして組織としてきちんと適切に対応するという体制を整えること。テレワークが普及し、部下がどんな動きをしているのか上司が把握しにくい、見えにくい状況では、なおさらこうした取り組みを意識的に行うことが重要になってきます。
このように「報告」のハードルを下げることで、「トラブルを報告しない従業員をゼロにする」という理想に一歩一歩近づくことができます。また、インシデントに関する連絡窓口を設置し、「おや？」と思ったらどこに連絡すればいいか、従業員に明確に周知しておくようにしましょう。

研修で守るべきルールを伝えよう

そのうえで日ごろから情報セキュリティに関する従業員教育や研修を定期的に行えば、事前対策は何倍にも効果を上げていくだろうと予想されます。

• 不審なメールを受信したときにはどうすればいいか？
• セキュリティソフトやツールが警告したときは何をすればいいか？

研修ではこうしたノウハウを教えることを基本とし、さらに守るべきルールについて指導し、情報セキュリティインシデントに関する予行演習なども行いましょう。

現状の課題を洗い出す重要性

従業員の情報セキュリティ意識向上によって得られる効果は、インシデントの防止だけではありません。その先には、企業の信用低下や損失を防ぐという大きな効果があります。つまり、それだけ企業価値が高まるということです。
その第一歩として、自社のセキュリティの取り組みや意識について、現状を把握することから始めてみませんか。

ここまで、情報セキュリティインシデントについて、また従業員の情報セキュリティ意識を向上させる効果的な取り組みについて、さまざまな角度から解説してきました。「何から始めればいいのかわからない」という経営層の方は、先にも紹介したようにまずは情報セキュリティ現状診断を実施してみてはいかがでしょうか。
サクサでは、20の質問に「はい」または「いいえ」で答えることで、自社のセキュリティ対策の取り組み状況や、対策を講じるべき問題点を把握することができる「情報セキュリティ現状診断」をご用意しています。ぜひ、お気軽にご活用ください。