今回のジョーシスラーニングは、情シスがやるべきセキュリティ対策として「すぐできる新入社員のセキュリティ教育・訓練から効率的なSaaS管理方法」というテーマでお送りします。

本記事は、情報セキュリティ総合コンサルティング会社であるLRM株式会社の正田暉貴さんと、ジョーシス株式会社の重盛貴裕が共同で開催したセミナーを記事化したものです。正田さんからは、「すぐにできるセキュリティー教育から訓練方法」をご紹介いただき、重森からは「効率的なSaaS管理の方法」について解説します。

＜スピーカー＞

1. 正田暉貴｜LRM株式会社 Seculio事業部 営業部
2. 重森貴裕｜ジョーシス株式会社 Sales Manager

情報漏えい対策！効果的なセキュリティ教育とは？

セミナー前半ではLRM株式会社の正田さんより、「情報漏えい事故の原因と対策」「セキュリティ教育を行う際のポイント」について解説いただきました。

世の中で発生している情報漏えい事故の状況や、実際に発生した情報漏えい事故の事例もご紹介いただいたことで、あらためて情報漏えいのリスクの高さを知るきっかけとなりました。

情報セキュリティ教育で重要なのはIDやアカウントの正しい理解です。基本的なデジタルアイデンティティの知識については、そもそもアイデンティティとは？ID・アカウントとの違いは？-デジタルアイデンティティのやさしい教科書もあわせてお読みください。

企業における情報漏えいの現状

正田さん
まず企業における情報漏えい事故の実態データをお見せします。本調査によると2022年の個人情報漏えい・紛失の公表は150社、事故件数は165件、漏えいした個人情報は592万7,057人分にものぼり、いずれも過去10年間で最多となっています。

そして、本調査結果はあくまでも企業の自主開示に基づく数字のため、実態としてはさらに多いと推測されます。とりわけサプライチェーン攻撃は、大企業よりもセキュリティ対策が不十分な中小企業が狙われることが少なくありません。

そのため、今やセキュリティ対策は企業規模問わず、すべての企業が取り組むべき課題といえます。

情報漏えい事故の事例

正田さん
具体的にどういった情報漏えい事故が発生しているか、実際に起きた事例を参考にしながら見ていきましょう。

1つ目は日本気象協会様で起きたEmotet感染の事例です。こちらはメールからのウイルス感染により、職員が業務上利用しているパソコン端末からメールアドレスが窃取された可能性が発覚しました。事象が発覚した翌日には、不審メールに関する注意喚起文を公表しましたが、組織としての信頼低下を招く結果となりました。

このように不審なメールを受信した際の対策としては、メール本文のURLや添付ファイルを安易に開かないことや、添付ファイルを開いた際にマクロやセキュリティに関する警告が出た際はクリックしないようにしましょう。また、なりすましメールに関する情報の周知徹底も大切です。

2つ目は積水ホームテクノ様で発生した、メール誤送信による顧客アドレスの漏えいに関する問題です。同社では、Webセミナーの案内メールを送信する際に、顧客のアドレスをBCCに入力すべきところをToに入力してしまい、1744件分のメールアドレスの情報漏えい事故を起こしてしまいました。

問題発生後、速やかに当該顧客へ個別にお詫びと、受信メールの廃棄を依頼しましたが、顧客からの信頼失墜は免れない事故となりました。こうした誤送信の対策については、メール送信時のダブルチェックの徹底および、メール送信を一次保留するような設定をしておくなどが挙げられます。

情報漏えい事故はなぜ起きてしまうのか

正田さん
これらの事象から学ぶことは、たとえ社内でルールをしっかり定めていたとしても、セキュリティ意識が低い従業者が一人でもいれば、情報漏えい事故につながってしまうということです。

万が一情報漏えい事故が起きてしまえば、原因調査・対応に大幅な時間を取られるだけではなく、顧客や社会からの信頼が失われてしまいます。最悪の場合、多額な損害賠償を支払わなければならず、経営上大きなダメージを負いかねません。

特に新入社員が入ってくる時期には、組織のセキュリティリテラシーの低さによって、情報セキュリティ事故が発生しやすくなります。そのため新入社員はもちろん、管理者を含め組織全体でセキュリティ教育に取り組み、情報セキュリティ意識の醸成が求められます。

効果的なセキュリティ教育のポイント

正田さん
一言でセキュリティ教育といってもさまざまな方法があります。そのなかでも、多くの企業で行われているのが、自社での集合研修、eラーニング、外部セミナー実施の3つです。

まず自社での集合研修は、自社内で講師や教材を準備するため、より自社にマッチしたセキュリティ教育を実現できます。その他、グループワークなど実践的な学習を行いやすいというメリットがあります。

一方、デメリットとしては、教材や講師の準備に工数がかかることや、教育対象者のスケジュール調整が必要などが挙げられます。

次にeラーニングですが、こちらは従業者の都合のいいタイミングで受講できることが大きなメリットです。事前準備や受講の手間も少ないことから、継続的な教育実施も行いやすくなります。

ただしデメリットとしては、自社の状況にあった教材を見つけることが難しかったり、テスト時に解答を丸暗記できてしまったりなど、学習効果が充分に得られない可能性がある点です。

最後に、外部セミナーの参加による学習についてです。こちらは、専門家による教育を受けられるうえ、その場で質問して疑問を解消できる点がメリットです。

デメリットとしては、1回あたりのコストが高くつくことや、開催日程に合わせて従業者のスケジュール調整が必要である点が挙げられます。

このように、学習方法によってメリットとデメリットが異なりますので、自社の課題や状況にあわせて適切な学習方法を選択すると良いでしょう。

セキュリティ教育で押さえておきたい3つのポイント

正田さん
いずれの学習方法を選択するにせよ、セキュリティ教育を行う上で注意すべきポイントがあります。1つ目は、セキュリティ教育の目的や対象者を明確にすることです。従業者にどのようなセキュリティ意識を持ってもらいたいかにあわせて、教材内容や教育対象者を選定することが大切です。

2つ目のポイントは、セキュリティ教育と効果測定をセットで実施することです。理由としては、教育を実施するだけでは、従業者の理解度を測れないためです。研修やeラーニングを実施したあとは、必ずテストやアンケートを行い、効果測定を実施しましょう。

そして3つ目は、自社にとって最適な頻度やタイミングで実施することです。例えば、年1回の全社研修で行ったり、従業員入社のタイミングで実施したりすることが必要です。

セキュリティについて意識を向ける機会が定期的にないと気が緩んでしまい、ルールが形骸化する可能性もあります。そのため、業務ボリュームを調整しつつ、定期的に教育を行えるような仕組みを作ることをおすすめします。

組織と従業員の情報セキュリティを向上させる

正田さん
今やセキュリティ教育の必要性は多くの企業が認識しています。しかしながら、実際にセキュリティ教育を継続するには「社内のリソースが足りない」という声も少なくありません。そこで当社では「セキュリオ」というサービスを通じて、従業員のセキュリティ意識と組織のセキュリティレベルの底上げを支援しています。

セキュリオでは、ISMS/Pマークなどの運用効率化・自動化および、セキュリティ対策における可視化も支援する機能も備わっています。2016年にリリース以来、導入社数は1,200社を越え、利用継続率99.64％を誇るなど、信頼と実績のあるサービスとなっております。

組織と従業員の情報セキュリティレベルの向上にお困りの際はぜひご検討ください。

4月からはじめる、情シスがやるべきセキュリティ対策とは 〜効果的なSaaS管理方法〜

後半パートでは、ジョーシス株式会社の重森より、効果的なSaaS管理方法というテーマで、具体的なセキュリティ管理のステップを解説いただきました。

ポストコロナで起きた環境の変化

重森
コロナ禍により、企業の情報システム部門ではさまざまな課題に直面しました。それらを分類しますと大きく3つに分けられます。

1つ目は、テレワークの急速な拡大により、デバイスを外部に持ち出すことが基本になったことで、情報の持ち出しについて一時的な特例や例外を認める組織が増加したことによる諸問題です。

次に2つ目ですが、SaaSツールの導入が普及したことでアカウント発行および管理が複雑化し、「シャドーIT」が急増していることです。

そして3つ目が、ITデバイスをExcelで管理する企業はいまだ多いために、ミスの原因になっていることです。こちらに関しては、各企業でIT資産管理に対する課題感はあるものの、抜本的な改善にいたっていないことが挙げられます。

これらの課題が顕在化したことで、企業のセキュリティリスクも増加の一途をたどっています。サイバー攻撃に関連する通信は直近10年間で約66倍に増加し、それに比例してセキュリティ事故報告件数も急増しています。

とりわけコロナ禍でテレワーク環境が普及した影響もあり、2020年以降はその被害が顕著に増えているのが現状です。

情報漏えいが増えている要因としては「外的要因」「内的要因」の2つに分けられます。外的要因とはすなわちサイバー攻撃のことで、ビジネスメール詐欺やランサムウェア攻撃による被害が挙げられます。

一方、内的要因とは、社内体制整備やセキュリティ対策の遅れが起因により発生した事故のことです。帝国データバンクの調査によると、事業継続計画（BCO）を策定していない企業が42.1％となっています。特に、中小企業では大企業に比べてBCPの策定が遅れているのが現状です。

情報漏えい事故を引き起こす要因はさまざまですが、IPA（独立行政法人情報処理推進機構）の調査によると、中途退職者による漏えいが最も多いことがわかっています。

こうした状況を踏まえて、政府では法改正を実施しており、企業ペナルティはより厳格化されています。しかし残念ながら、こうした法改正について正しく把握していない企業が非常に多いというのが実態となっています。

特にシャドーITの増加は、企業の情報セキュリティリスクを高めています。シャドーITの発生原因やリスク、対策について詳しくは、シャドーITとは？発生原因・リスクと対策、具体事例を解説をご参照ください。

情シス1000社への独自調査で見えたIT管理の実態

重森
コロナ禍で多くの企業がリモートワークを導入したことの影響を受け、現在クラウドサービス（SaaS）を利用する企業は全体の76%にのぼります。

しかしながら、「社員ごとのSaaS利用状況を正しく把握しているか」という質問に対して、約8割の企業が「正しく把握できていない」と回答しています。その結果、退職者のアカウント削除漏れにつながり、情報漏えいリスクが高まる要因となっています。

実際、シャドーITのリスクに気付いていながら、ほとんどの企業がどのように対処したら良いかわからず、手つかずの状態になっているというのが現状です。さらに、こうしたセキュリティリスクに対して、シャドーIT検知の対応を予定している企業はわずか4割程度にとどまっており、情報セキュリティ対策に対する意識の低さがあらわれています。

アカウント削除漏れによる退職者による情報漏えいリスクはすでに顕在化しています。調査結果によると、約2割の企業で退職者のアカウント削除漏れが起因となり、情報漏えい事故やヒヤリハットが発生した経験があると回答しました。

退職者のアカウント削除漏れによる情報漏えいリスクに対しては、オフボーディングプロセスの自動化と合理化が重要です。Josysが提供する従業員退職プロセスの合理化と自動化についてもぜひご確認ください。

クラウドセキュリティ対策

重森
ここまで解説したとおり、多くの企業でクラウドセキュリティ対策が課題となっています。しかし、どうやって進めていけばよいかわからないという声も多く寄せられています。

そこで当社では、具体的に3つのステップで対策を進めていただくことを推奨しています。まず1つ目のステップは、利用状況の把握・可視化です。つまり、誰が・何を・どう使っているかを可視化し、クラウドサービスの契約状況や利用料金も含めて一元管理できている状態を作ることが大切です。

次に、リスク検知・アセスメントのステップへと進みます。こちらでは、シャドーITや不適切な権限設定、退職者アカウントの削除漏れといったリスクを自動で検知する仕組みを作ります。

それらを踏まえたうえで、検知リスクを対処するステップへと進みます。具体的には、ログを監視し原因を特定することや、再発防止策の策定などが挙げられます。

以上がクラウドセキュリティ対策の進め方となりますが、大半の企業がステップ1（利用状況の把握・可視化）でつまずきます。特にExcelで管理している場合は、従業員の入退社ごと、あるいは新しいクラウドサービスを導入するたびにファイルを更新しなければならず、管理が複雑化・煩雑化してしまうケースも少なくありません。

また、なかには四半期や半期ごとの棚卸しでまとめて整理する企業も多いと思いますが、その場合リアルタイムでの管理ができないため、常に情報漏えいリスクにさらされている状況になります。

こうした状況を踏まえて、当社では「ジョーシス」を通じて企業のセキュリティレベル向上とITコスト削減を支援しています。先程紹介した、3つのステップを効率化する機能が備わっていますので、ご興味がありましたらぜひお問い合わせお待ちしております。

まとめ

今回の「ジョーシスラーニング」では、情報セキュリティの総合コンサルティング会社であるLRM株式会社の正田さんと、ジョーシス株式会社の重森の共同で、「すぐできる新入社員のセキュリティ教育・訓練から効率的なSaaS管理方法」について解説いただきました。

具体的な調査データや情報漏えい事故の事例を紹介いただいたことで、セキュリティ対策の重要性を理解できたかと思います。

多くの企業では4月に新入社員を迎え、研修期間を終えて現場に配属されるころです。また新入社員に限らず、今やセキュリティに関する理解はビジネスパーソンにとって欠かせません。今回の内容を参考にしていただき、あらためて社内で情報セキュリティのリスクや対策について検討してみてはいかがでしょうか。

セキュリティ対策の第一歩として始めたいのが、社内IT資産の管理です。ジョーシスでは、誰が、何を、どのような権限で保有しているかが、まとめて確認できます。シャドーITの検知も可能なため、情報漏えいのリスクも防げます。

「セキュリティ対策を進めたいけれど、何から始めたら良いかわからない」という方は、こちらのページもチェックしてみてください。