情報漏えい等のセキュリティ事故を未然に防ぎ、会社が保有する個人情報や営業秘密を含む大切な情報資産を守るためには、会社としてのルールを明確に定め、社員一人ひとりがそのルールを確実に守って業務を行うことが必要不可欠です。
策定した会社のルールは、社員へ周知徹底を行うことで初めて効果を発揮します。
情報セキュリティに関するルールを踏まえ、「社員に対する教育・監督を行う」ことは、情シスの重要な役割の1つです。
そこで今回は、情シス担当者が社内でセキュリティ教育や定期的な注意喚起を行うにあたり、特に社員へ実践を促したい情報漏えい対策10選をご紹介します。
「情報セキュリティ意識向上に向けて、どんな内容を社員に伝えるべきか迷っている・・・」という情シス担当者の方は、ぜひ参考にしてみてください。
なお、社員へセキュリティの注意喚起を行う際にさりげなく取り入れたい「ひと工夫」について知りたい方は、以下の記事もぜひご覧ください。
社員へ実践を促したい情報漏えい対策10選
1.パスワードの適切な管理
会社内の情報資産にアクセスする際に使うパスワードの管理をおろそかにすると、悪意を持った第三者にアカウントを不正に利用され、機密情報の漏えいにつながってしまう恐れがあります。
社員が適切にパスワードを管理するために、特にパスワードの作成と保管、変更におけるポイントについて、自社のパスワードポリシーに合わせて周知すると良いでしょう。
安全なパスワードを作成する
安全なパスワードとは、他人から容易に推測されにくく、パスワードクラッカーなどのツールで機械的に割り出しにくいものを指します。
作成条件としては、以下のようなものが当てはまります。
・名前や誕生日などの個人情報が含まれていない
・パスワードに使われやすい英単語をそのまま使用していない
・類推しやすい安直な文字列を組み合わせていない
・適切な長さの文字列である
・アルファベット、数字、記号が混在している
パスワードを厳重に保管する
せっかく安全なパスワードを設定しても、パスワードが他人に漏れてしまえば意味がありません。
パスワードの保管に関しては、特に以下の点に注意します。
・パスワードを他人に口外しないこと
・パスワードを電子メールで安易にやりとりしないこと
・パスワードのメモを机の上やPCのディスプレイなど、他人の目に触れる場所に貼らないこと
・自分でパスワードを忘れないようにメモを作成した場合は、鍵のかかる安全な場所に保管するか、肌身離さず持ち歩くこと
パスワードの変更は慎重に行う
パスワードの変更は、実際にパスワードが流出した、あるいは流出した恐れがある場合を除き、むやみに何度も行うべきではありません。
パスワードを定期的に変更するうちに作り方がパターン化し、「破られやすい」安直なパスワードを使用するようになってしまったら、それこそ目も当てられないからです。
過去に使用していたパスワードの再利用でもなく、他のサービスで既に設定しているパスワードの使い回しでもない、推測しにくい固有のパスワードを作成することがセキュリティ上いちばん安全といえます。
2.電子メールの誤送信防止
電子メールは業務を進める上で何かと利用する機会の多いツールの1つですが、近年は不注意や操作ミスなどを原因とした誤送信による情報漏えい事故が頻発しています。
そのため、「メール送信時の遵守事項」と題して社員一人ひとりに注意喚起を促し、電子メール利用による情報漏えいのリスクを明確に認識してもらうことが大切です。
メール送信前に、「送信先アドレス」に間違いがないか再確認する
メールの宛先間違いは、誤送信の主たる原因の一つです。
ミスを誘発する可能性の高い「宛先欄へのアドレスの直接入力」や「オートコンプリートと呼ばれる自動補完機能を使ったアドレスの入力」は避け、アドレス帳に登録されている相手の会社名と名前、メールアドレスをしっかり確認したうえで宛先を選択するようにします。
メール送信前に、「添付ファイル」に間違いがないか再確認する
「宛先が間違っていない」というだけで安心して気を抜いてはいけません。
宛先が正しくても、本来その相手に送るべきではないファイルが添付されていたら、誤送信対策は台無しです。
顧客名やバージョン、日程などを入れて、添付ファイルの名称を具体的で分かりやすいものにすることで、適切なファイルかどうか判断がつきやすくなるほか、送信前に添付ファイルを一旦開封し、不要な情報が紛れていないか確認することも効果的です。
添付ファイルには必ずパスワードを設定する
業務上どうしても重要な情報をメールでやり取りする必要がある場合は、本文には直接記載せず、添付ファイルにその内容を記載し、添付ファイル自体にパスワードを設定するようにします。
パスワードは自社のパスワードポリシーに従って設定し、電話やFAX等、相手に別経路で連絡するようにしましょう。
TO、CC、BCCを適切に使い分ける
「TO」は、必ずメールの内容を読んでほしい、もしくは返事が欲しい相手を記載します。
「CC」の受信者や「BCC」の受信者にも、TO先の相手は表示されます。
「CC」でメールを一斉送信した場合、受信者は他の受信者のメールアドレスを見ることができますが、「BCC」で送信した場合は、他の受信者のメールアドレスは表示されません。
つまり、本来「BCC」で送るべき相手であるAさんに間違えて「CC」で送ってしまうと、AさんのメールアドレスがTO, CC, BCC先に記載されたすべての受信者に知られてしまうことになり、情報漏えいにつながってしまいます。
TO, CC, BCCの違いをしっかりと把握したうえで、状況に応じて適切に使い分けるように周知しましょう。
3.不審なメール対策
近年、特定の企業や組織に対する機密情報の窃取を狙いとした標的型攻撃が増えています。
手口としては、ターゲットへ巧妙に偽装したウイルス付きメールを送りつけ、添付ファイルやURLをクリックさせようとするものが多いです。
標的型攻撃メールの厄介な点は、一見して不審な点があまりなく、つい本物のメールであると信じて開封した結果、本人の知らない間に重要な情報が抜き取られてしまうことにあります。
とは言え、意識しないと気付きにくいだけで、不審なメールである兆候は確かに存在します。
被害の拡大を少しでも食い止めるためには、社員に標的型攻撃メールの特徴をよく理解してもらい、不審なメールが届いても安易に開封せず、速やかな情報共有を呼びかけることが肝心です。
不審なメールを見分けるポイント
標的型攻撃メールによるウイルス感染を防止するため、以下の内容に複数合致する場合は、軽はずみに添付ファイルを開いたり、リンクを参照したりしないようにしましょう。
①日本語では見慣れない漢字が使われているメール
②日本語の言い回しが不自然なメール
③差出人アドレスが「フリーメールアドレス」
④差出人と本文の署名に記載されたメールアドレスが異なる
⑤実行形式ファイル(exe/scr/cplなど)や、ショートカットファイル(Inkなど)が添付されているメール
⑥アイコンが偽装されているメール
⑦ファイル名に空白文字があるメール
⑧心当たりのないメールだが、興味をそそられるタイトル
⑨これまで届いたことがない公的機関からのお知らせ
⑩添付ファイルの開封やURLのクリックを不自然に促すメール
4.SNS利用上の注意
ここ最近、SNSの不適切な投稿を原因としたトラブルや炎上が相次いでいます。
こうしたトラブルは、「自分は大丈夫だろう」「まさかここまで大事になるとは思っていなかった」といった慢心がきっかけとなって引き起こされるケースが非常に多くなっています。
特に、会社に関するSNS上での不用意な発言は、情報漏えいや企業イメージの失墜につながる恐れがありますので、個人のSNSアカウントで会社の商品・サービス・業務に関する情報や、会社の顧客・取引先に関する情報は投稿しないように注意喚起しましょう。
広報やマーケティングの関係で、会社のSNSアカウントを使って投稿を行う場合は、必ず管理者の承認を得てから公開するようにします。
そのほか、利用するサービスの規約を遵守する、第三者によるアカウントの乗っ取り・なりすまし防止のためアカウント情報(ID・パスワードなど)を適切に管理する、といったポイントも押さえておきましょう。
5.業務目的外のWebサイト閲覧禁止
「息抜きに」「少しくらい」といった軽い気持ちで業務目的外のWebサイトを閲覧し、万が一ウイルス感染やフィッシング詐欺による情報窃取などの被害に遭い、会社に重大な損害を与えてしまった場合、会社から損害賠償を請求され、懲戒免職になってしまう恐れがあります。
これだけにとどまらず、顧客や取引先までもが損害を被ってしまった場合、ブランドイメージの低下や販売機会の減少など、自社の損失にも直結してしまいます。
セキュリティリスクの潜む、業務に関係のないWebサイトを閲覧するような迂闊な行動は避けるよう注意喚起しましょう。
なお、情シス担当者の許可を得ていないクラウドサービスの利用や各種ソフトウェアのインストールも、情報漏えいやマルウェア感染リスクを高める原因となるため、原則禁止すべきです。
6.クリアデスク・クリアスクリーンの徹底
情報の安易な放置による漏えい事故を防ぐため、「クリアデスク」「クリアスクリーン」を社員に周知徹底しましょう。
クリアデスクは、離席時や退社時に、書類やPC、タブレット等の媒体を机上に放置しないことです。
鍵付きキャビネットなどへの施錠保管を徹底することにより、書類等の紛失・盗難や誤廃棄を防ぐことができます。
クリアスクリーンは、離席時にパソコンの画面をロックし、他人が覗き見・操作できない状態にすることです。
離席時は必ず画面をロック状態にするよう呼びかけるほか、5分以内のスクリーンセーバーの設定や覗き見防止フィルターの活用も有効です。
また、「クリアデスク」「クリアスクリーン」が実施されているか定期的に部署内で自己点検することで、社員が互いに協力し合うような環境を作ることができ、さらに定着効果が高まります。
7.安全な無線LANの利用
無線LANは、電波を利用する通信であるという性質上、他人から通信内容を盗聴される危険性が常に付きまといます。
特に最近は、パスワードの入力を必要とせずに誰でも気軽にアクセスできる公衆無線LANが駅や空港、カフェやレストラン等の公共の場で多く普及しています。
しかし、セキュリティ上決して安全とは言えないため、これらの公衆無線LANに接続して業務を行うのは原則禁止すべきです。
さらに、昨今のリモートワーク拡大に伴い私有のWi-Fiルーターを使う必要性がある場合は、脆弱性が発見されている「WEP」という暗号化方式を利用していないか、社員に確認させるようにしましょう。
8.情報の持ち込み&持ち出し制限
私物の機器持ち込み、不必要な情報の持ち出しによる情報漏えいのリスクも、社員に明確に認識させましょう。
私物の機器を持ち込ませない
もし万が一、私物のUSBメモリなどの記録媒体が既にウイルス感染していた場合、社内ネットワークを通して会社の機器にも感染が拡大する恐れがあります。
ウイルス感染による情報漏えいのリスクを回避するためには、私物の機器の持ち込みを禁止し、業務上どうしても持ち込む必要がある場合は、社内ネットワーク接続前に必ず機器のウイルススキャンを実施するようにします。
情報を安易に持ち出させない
情報漏えいを防ぐには、情報を持ち出すという行為そのものを禁止することが最も有効ですが、もしどうしても持ち出す必要がある場合は、事前に上司の許可を得たデータのみを特別に持ち出すようにするといった工夫が必要です。
ノートPC、タブレット、USBメモリ等のデバイスを社外に持ち出す際は、端末に保存するデータを必要最小限とし、紙媒体も同じく必要な書類を厳選して持ち出すようにします。
端末には必ずパスワードを設定し、移動時は紛失・盗難防止のため常時携行を義務付けましょう。
9.情報の適切な廃棄
不要になったPCのハードディスクや、CD-ROM、DVD、USBメモリといった外部記憶媒体を廃棄する際に、中にわずかでも情報が残っていると、そこから第三者への情報漏えいにつながる恐れがあります。
そのため、社内情報機器の廃棄はすべて情シス担当者に一任するよう呼びかけ、情シス担当者はハードディスクを取り出して物理的に破壊するか、データ抹消ツールで完全消去するようにします。
紙媒体に関しても、シュレッダーを使わずに手で破いて捨てただけでは、トラッシング(ごみ箱あさり)による思わぬ情報漏えい被害に遭う可能性が高くなります。
紙媒体を廃棄する際は必ずシュレッダーを使用すること、または社内のルールに従い溶解処分を業者に依頼するようにしましょう。
10.インシデント報告フローの把握
どれだけ万全に対策を講じたとしても、情報漏えいの発生を100%防ぐことはできません。
もし万が一情報漏えい事故が発生してしまった場合、顧客や取引先など各関係者への被害を最小限に抑えるために、会社として迅速かつ的確な対応が求められます。
会社が事実関係を正確に把握し、短時間で適切な対応を取るためには、当事者からの速やかな報告が欠かせません。
いざという時に焦らず落ち着いて対応できるように、折を見てセキュリティインシデント発生時の社内報告フローを社員に周知するようにしましょう。
まとめ
いかがでしたでしょうか?
社員一人ひとりが会社組織の一員としての自覚を持ち、会社のルールを自分事として捉えるためには、ルールを確実に守って業務を行うことが結果的に自分の所属する会社のセキュリティレベルを維持することにつながるという認識を持たせることが大切です。
そのためにも、ルールを無視した個人での勝手な判断は、予期せぬセキュリティ事故を誘発するリスクがあるため絶対に行わないよう、社員に繰り返し伝えるようにしてください。
なお、「IT人材が不足していて、セキュリティの注意喚起にまで手が回らない・・・」という企業様向けに、当社では情シス支援サービス「ION」を行っております。
以下リンクより情シス支援サービス「ION」に関する資料を無料でダウンロードすることができますので、興味のある方はぜひチェックしてみてください。
お電話・FAXでのお問い合わせはこちら
03-5828-7501
03-5830-2910
【受付時間】平日 9:00~18:00
フォームでのお問い合わせはこちら
この記事を書いた人
Y.M(マーケティング室)
2020年に株式会社コンピュータマネジメントに新卒入社。
CPサイトのリニューアルに携わりつつ、会社としては初のブログを創設した。
現在は「情シス支援」をテーマに、月3本ペースでブログ更新を継続中。
