セキュリティコラム

vol. 11 2021年02月 社員のセキュリティリテラシー向上は必須!注意すべき攻撃の手口と社員教育の方法を紹介

【vol.11】社員のセキュリティリテラシー向上は必須!注意すべき攻撃の手口と社員教育の方法を紹介

インターネットが発達・普及した昨今、ビジネスにおいてもその役割や重要性は高まり続けています。しかし、その一方でサイバー攻撃も多種多様化しており、企業におけるセキュリティ対策は欠かせないものになっています。システム的なセキュリティ対策はもちろんのこと、社員のセキュリティリテラシー向上も非常に重要な要素です。

この記事では、社員のセキュリティリテラシー向上の重要性や、そのための社員教育などについて解説します。

今増えている!サイバー攻撃の種類

今増えている!サイバー攻撃の種類

リテラシーとは自身が身につけた知識や技術を使って事象を理解・整理して活用する能力を表す言葉です。セキュリティリテラシーは情報セキュリティに関する知識によってセキュリティ対策を行なうことと言えます。

社員のセキュリティリテラシーを向上させるためには、近年注意すべきサイバー攻撃の手口と対策方法についても知っておかなければなりません。ここでは、特に注意すべきサイバー攻撃について紹介します。

パスワード付きZIPファイルを使った攻撃

一つ目は“パスワード付きZIPファイル”を使った使った攻撃です。Emotetというマルウェアが近年多くの企業で被害をもたらしており、企業の情報を盗み出す上に、その他のマルウェアへの感染源としても利用されます。

情報処理推進機構(IPA)の報告によれば、2020年9月からEmotetのパスワード付きZIPファイルを使った攻撃の相談が急増しています。Emotetは近年最も注意すべきサイバー攻撃の一つです。

Emotetが含まれるパスワード付きZIPファイルは、業務の関係者を装ったメールに添付されていることが多く、特定の社員を狙い撃ちにした“標的型攻撃メール”として送られます。
パスワード付きZIPファイルでマルウェアが送られた場合、ファイルが暗号化されているためアンチウイルスソフトなどのセキュリティ対策製品によるチェックができず、検知されない場合があります。そのため、社員の手元までEmotetが含まれるパスワード付きZIPファイルが届いてしまいます。ファイルを実行して感染してしまうか、不審な点に気づいて感染を免れるかは、社員のセキュリティリテラシーが最後の砦になるのです。

加えて、Emotet がMicrosoft Office製品のマクロ機能を利用することも確認されているため、Wordなどの添付ファイルに関しても注意が必要です。身に覚えのないメールの添付ファイルを安易に開かない、Wordなどのマクロを安易に実行しない、といった対策が有効となります。

特定企業を狙い撃ちにするデータの人質化

“ランサムウェア”も注意すべきサイバー攻撃です。ランサムウェアはデータを暗号化して使えなくし、暗号化を解除するために身代金を要求するマルウェアです。

従来は不特定多数に向けて攻撃が行なわれていましたが、2018年から2019年にかけて特定の企業や個人を狙い撃ちする攻撃が増えています。ランサムウェアに感染してしまうと、データが利用できなくなるため、通常通りの業務が行なえなくなり、事業継続が脅かされる可能性があります。

加えて、従来はファイルを暗号化して復号化するために身代金を要求する攻撃が主流でしたが、近年では身代金を払わないと「暗号化した機密情報を暴露する」と脅迫する攻撃も出てきています。

次の章では、これらの情報漏洩などの事故を対策するために、従業員のセキュリティリテラシーを向上させることの重要性についてお伝えします。

社員のセキュリティリテラシーを向上させる重要性

社員のセキュリティリテラシーを向上させる重要性

「セキュリティ対策はシステム的に行なうもの」と思う方も多いかもしれませんが、社員のセキュリティリテラシーを向上させることは欠かせない要素です。

それは、企業が抱えるセキュリティリスクが先ほど紹介したサイバー攻撃だけでなく、SNSなどによる情報漏洩や安易なパスワード設定による不正アクセスなどのリスクも考えられるからです。

ここでは、社員のセキュリティリテラシーを向上させる重要性について、もう少し詳しく見ていきましょう。

社員のセキュリティリテラシーが最後の砦になる

システムとしてセキュリティ対策を取ることは必要ですが、すべてのセキュリティリスクに対応できるわけではありません。最終的にはシステムを利用する“人”に委ねられることになり、社員のセキュリティリテラシーはセキュリティ対策における最後の砦になります。

例えば、先に紹介したEmotetやランサムウェアはメールの添付ファイルとして、特定の社員などを狙い撃ちにする標的型攻撃メールとして送られてくる事例が多数報告されており、アンチウイルスソフトなどのセキュリティ対策製品によるチェックをすり抜けてしまう可能性があります。最終的にこれらのマルウェアに感染するかどうかは社員の行動に委ねられます。さらに、近年ではSNSなどに機密情報を投稿してしまう事例や、安易なパスワード設定による不正アクセス被害の事例も多数報告されています。

これらの課題はシステムだけで解決することは難しく、社員のセキュリティリテラシーの向上が有効な対策手段と言えるでしょう。これらのセキュリティリスクを鑑みると、いかに社員のセキュリティリテラシーが最後の砦になるかがわかります。高いリテラシーは効果的なセキュリティ対策になり得るのです。

グループ会社や取引先もセキュリティリテラシーを向上させる

自社の従業員だけでなく、グループ会社や取引先の従業員のリテラシー向上も意識する必要があります。近年のICTシステムやサービスの開発は自社だけで完結している例は少ないためです。関係各社全体で対策を行なわなければ、万全の対策にはなり得ません。

また、グループ会社や外部の企業に開発を委託することもありますが、その際に注意しなければならないものが“サプライチェーン攻撃”です。サプライチェーン攻撃は企業における供給網(サプライチェーン)を狙ったサイバー攻撃であり、委託先の納品物にマルウェアが混入していたり、委託先から情報が流出したりする被害が考えられます。

サプライチェーン攻撃を防ぐためには自社従業員のセキュリティリテラシーを高めるだけでなく、グループ会社や取引先も含めたすべての従業員のリテラシー向上が求められます。

セキュリティリテラシーを向上させる社員教育の方法

ここまでに社員のセキュリティリテラシーを向上させる重要性を解説しましたが、具体的にはどのような教育方法を取ればよいのでしょうか。ここでは、社員のセキュリティリテラシーを向上させる社員教育の方法について触れていきましょう。

e-Learningによる社員教育の実施

e-Learningとは、主にインターネットを利用した学習形態を表す言葉です。多くはWebブラウザを利用するため、端末やOSの種類を問わずに教育を実施できます。加えて、時間や場所も問わずに教育を実施できることからも、効果的なセキュリティリテラシー教育が実施可能です。

e-Learningを利用するメリットとしては、社員側は文字だけでなく音声や動画によって学習理解度を深められる点が挙げられます。また、教育の実施者側は社員の学習状況を把握できるため、すべての社員に対して均一な教育を施すことができます。

具体的な教育内容(コンテンツ内容)としては、パスワードの管理やメール送受信時の注意点、ソフトウェアのダウンロードに関する注意点などが挙げられるでしょう。加えて、社員のセキュリティリテラシー向上のためには、会社のセキュリティポリシーや守るべきことをわかりやすくまとめて周知することも重要です。その際もe-Learningを使って教育を実施できるため、社員のセキュリティリテラシー教育には欠かせない方法の一つとなっています。

標的型攻撃メール訓練などの定期的な注意喚起

Emotetやランサムウェアの例からも分かる通り、近年で注意すべきサイバー攻撃の足がかりは特定の企業・人物を狙った標的型攻撃メールです。標的型攻撃メールは取引先や上司・知人を装って添付ファイルを開かせようとする攻撃です。内容も巧妙であることからマルウェアに感染してしまう例が多く見られます。

そのため、標的型攻撃メールを模した訓練を行なうことが効果的です。標的型攻撃メール訓練は、一度だけでなく定期的に行なう必要があります。

サイバー攻撃は年々巧妙化しており、定期的に情報をアップデートしなければなりません。標的型攻撃メール訓練などによって定期的に注意喚起することは、社員のセキュリティリテラシー教育にとっても効果的です。近年では訓練を実施するためのサービスも登場しているため、これらを活用してみてはいかがでしょうか。

まとめ

企業においてセキュリティ対策を実施することはもはや必須です。そのセキュリティ対策はシステム的なものだけでなく、社員のセキュリティリテラシー向上も含まれます。システム的な対策を行なっていても、最終的には社員のリテラシーに委ねられることが多く、社員のセキュリティリテラシーはセキュリティ対策における最後の砦と言えるでしょう。

セキュリティリテラシーの向上は一朝一夕で行なえるものではありません。社内の教育環境を整え、定期的にセキュリティに関する注意喚起を行なうなどのセキュリティ教育の構造化が必要です。

その際には一般社員向けに、e-Learningや標的型攻撃メール訓練などのサービスを活用することが有効です。

なお、SCSKではIT担当者向けに現場で適切に対応できる知識を身につけるための「セキュリティ教育研修」 を提供しています。社員のセキュリティリテラシー向上とは異なりますが、実際にインシデントが発生した際の対応技術やマネジメント手法を学べる研修です。現場で役立つ実践的な知識・スキルを体系的かつ効率的に身につけられる研修となっていますので、社員教育の一環として検討されてみてはいかがでしょうか。

お問い合わせ

お問い合わせはこちら

CONTACT

0800-500-4000

セキュリティサービス部
受付時間:月~金 9:00-18:00(祝日、年末年始、当社指定日除く)

お問い合わせ 0800-500-4000
page top