情報セキュリティ教育ベストプラクティス

社内SEといえば、企業のセキュリティ向上をシステムで実現するのはもちろんですが、社員のセキュリティ意識を向上させる教育をするのも大事なお仕事です。

社員のセキュリティ教育は社内SEの大事なお仕事

セキュリティ意識が低ければ顧客データの漏洩など重大なセキュリティインシデントにつながる可能性が高くなります。セキュリティインシデントが発生すれば、企業の信用が下がるなど、大きなダメージが伴います。

よって、セキュリティ教育は非常に重要なのです。

セキュリティに対する意識付けは難しい

しかし、一般的な企業の方々はITリテラシーの高い方もいれば、低い方もいることかと思います。ITリテラシーの高い方はセキュリティ意識が高く、逆に低い方はセキュリティ意識が低い傾向が見られます。IT知識がなければ何が危険か、それがどうして危険なのかはわかりません。わからなければ意識を高めるのは自然と難しいことになります。

そういった背景からもセキュリティ意識を高める教育は非常に難しい課題なのです。

どこの企業でも抱える問題・悩みなのではないでしょうか。

セキュリティ教育のベストプラクティス

そんななか、Microsoftから出ている【安全を保つための6つのヒント】という記事を発見しました。

本記事は、最終的に「挙げたヒント(セキュリティ要件)を満たすソリューションをうち(Microsoft)は持っていて実現できますよ。どうですか?導入しませんか?」という宣伝につながっていくわけですが、

セキュリティ対策として、いつ何をすればよいかが非常に理解しやすく簡単に書いてある秀逸なものだったので紹介させていただきます。

フィッシング詐欺には要注意

不明なURLはクリックしないようにしましょう。
銀行やクレジットカード会社を名乗るメッセージには最新の注意を払い、迅速な対応が必要だと促す内容には特に注意しましょう。
少しでも内容が怪しいと感じたら、たとえそのメールにお客様の個人名が記載されていて、カスタマイズされたものであっても、直接状況を確認しましょう。

どんなメールが怪しいか選別するのはITリテラシーが高くない人にとっても非常に難しいです。いや、ITリテラシーがあったとしても非常に難しい問題です。なので、はじめの一文がすべてだと思います。わからないURLはクリックしない。

データはクラウドにバックアップ

マイクロソフトの OneDrive をはじめとする暗号化されたクラウドストレージを活用し、悪意のある人・組織からご自身のデータを保護しましょう。クラウドを利用すれば、デバイス自体を紛失するなど、何かが発生してもファイルや写真を失うことはありません。データはすべて OneDrive 内に残っています。

データをクラウドにおくことは、ランサムウェア対策、データ損失回避、利便性の向上といった大きなメリットがあります。

一般的にクラウドストレージ容量は非常に大きいので、社内のNASやファイルサーバが不要になり、管理負荷の軽減になります。ファイルサーバの残容量を気にする日々にサヨナラできるかもしれません。

パソコンは最新のデバイスを選択

新しいパソコンを購入する際は、Windows 10 などの安全な OS が搭載された最新のデバイスを選びましょう。Windows 10 には、最新のセキュリティや機能が組み込まれています。

顔認証・指紋認証機能などのついているPCを今後のセキュリティ向上の取り組みのためにも選びたいものです。理由は後述します。

パスワード以外の対策の検討を

Windows 10 デバイスに簡単、かつ安全にログインできる Microsoft Authenticator アプリや Windows Hello などの機能を活用してみましょう。顔認証や指紋認証を使えば、パスワードを覚える必要もなく、さまざまなデバイス、アプリ、およびブラウザーにすぐにログインできます。

先日、W3Cが「WebAuthn」を勧告として発表しました。
WebAuthnは簡単に説明すると、現在多くのWebアプリで用いられているユーザー名とパスワードの組み合わせを用いた認証ではなく、デバイス上で行う指紋認証や顔認証、PINコードの認証をもとに、公開鍵暗号をもちいてサーバとユーザ間で認証を行う技術です。

この仕組みをもちいることで、ネットワーク上にパスワードが流れることがなく、サーバ上にパスワードを保存しないため、通信経路の盗聴やサーバのパスワード漏洩といったセキュリティリスクがなくなります。

こういった背景もあるので、パスワード以外の対策の重要性というのは、今後非常に高まっていくのではないでしょうか。

よって、さきほどのパソコンは最新のデバイスを選択につながるのですが、指紋認証機能や顔認証機能をハードウェア的に実装しているモノを選ぶことが重要なのです。

公共のWi-Fi利用には細心の注意を

一般的に、5 人に 1 人は安全性が確保されていない Wi-Fi ネットワーク上でオンラインショッピングを行っていると言われています。まさにその 1 人にならないよう、注意しましょう。
1. アドレスバーの左上にある鍵のアイコンがあるかを確認し、接続が暗号化されていて安全であるかチェックしましょう。
2. 訪問先の Web サイトが該当する Web サイトかどうか、URL を再度確認しましょう。

具体的な方法を簡潔に書いてくれてあり、わかりやすいですね。

ただ、できることなら社員には公共のWi-Fiに接続させないのが一番です。会社支給のスマホでテザリングさせるなど、やり方を限定するのが有効な手段なのではないでしょうか。

最後に

一部は社内SE向けの内容もありますが、考え方としては社員にも理解いただきたいところです。

セキュリティ向上のための教育というのは、あれもしてください、これもしてくださいと非常に煩雑になりがちです。聞くほうとしては、シンプルイズベストなわけです。なので、今回紹介させていただいた内容くらいのボリュームがベストだと思う次第です。

タイトルとURLをコピーしました