企業のセキュリティ教育に役立つ文書

人事部などが主催するセキュリティ研修では、会社が定めたセキュリティポリシーをもとに具体的な対策や禁止事項、推奨事項などがレクチャーされるだろう。会社や組織ごとにオリジナルの資料やセミナーを実施するところもあれば、関連団体が一般公開している企業研修向けの文書やサイトを利用する場合もある。

IPAやJPCERT/CCは、組織が企業研修などの参考になるための資料を公開している。従業員にどんな教育をすればいいのか、また従業員は業務で気を付けるべき情報セキュリティはなにか、を知るために活用できる。

新入社員等研修向け情報セキュリティマニュアル Rev.3

特集・新入社員の情報セキュリティ



インターネットの安全・安心ハンドブック

国民のためのサイバーセキュリティサイト:企業・組織の対策

JPCERT/CCが公開している「新入社員等研修向け情報セキュリティマニュアル」は、項目ごとに教育担当者やシステム管理者向けのポイント、勘所が書かれているので、教材づくりに便利である。IPAや総務省などが公開している資料、サイトはおもに従業員や利用者に向けた対策情報がまとめられている。自習資料としてそのまま配布・共有することもできる。

これらの資料には、推奨される対策、注意すべき行動、PCやスマートフォン利用における注意点、ウイルス感染やサイバー攻撃を受けた場合の対処方法など、基本的だが重要な事項が書かれている。読んで内容を実践するだけで、一定のセキュリティクライテリアを達成できるほどよくできている。

基本的な対策や注意点をおさらい

しかし、現実はそう簡単な話ではない。資料の内容を実践する。言葉にするとシンプルだが正しく実践できる人、組織は稀だ。セキュリティ対策の本質はここにあるといってもいい。

なぜ、対策の実践が難しいのか。それを考察する前に、企業や組織における基本的なセキュリティ対策にはどんなものがあるのか、主だったものを整理してみる。ここで取り上げる対策は、おもに従業員やシステムのユーザーが注意すべき項目、対策すべき項目とする。

1. セキュリティ対策ソフトをインストールする
2. ソフトウェアを常に最新のものにしておく
3. パスワードやアカウント情報は共有しない
4. 強度の高いパスワードを利用する
5. 多要素認証を利用する
6. フィッシングや詐欺など不審なメール、メッセージ、サイトに注意する
7. フェイクニュース、偽広告に注意する
8. 無料Wi-Fiの接続に注意する
9. USBメモリなど外部記憶媒体の取り扱いに注意する
10. PCやスマホの画面ロック・デバイスロックを有効にする

どれも基本的すぎて、いまさらいわれなくても、と思うかもしれない。まずこの思考が落とし穴だ。「1111をパスワードにしてはいけない」と言われても、当たり前すぎて頭に残らない。本当に必要なタイミングで適用されない。決められたルールを守ればよしとする。極端な例だが「5678は1111じゃないからOK」としてしまうパターンだ。

だが、このあと説明していくように、その対策は本当に正しいのか。という意識を持つことは重要だ。技術や攻撃者は常に進化している。何年も同じ対策で安全であると考える方がおかしいはずだ。リスキリングという言葉があるが、セキュリティ対策においても新しい技術や情報をキャッチアップして有効な対応に切り替えていく必要がある。

基本的な対策をどう解釈すればいいのか

現実問題として、情報漏洩やランサムウェアの被害はなくならない。その理由と対策を、前述した基本的な対策のうち、関連項目ごとに考えてみる。

1. セキュリティ対策ソフトをインストールする
2. ソフトウェアを常に最新のものにしておく

アンチウイルスソフトのインストールはPC運用では基本中の基本だ。通常は会社指定のソフトウェアがインストールされているはずだ。会社によっては、専用のセキュリティエージェントをインストールしてプロテクトを行っている。それでも侵入が防げないこともあるが、セキュリティソフトが防いでいる攻撃は多い。

同様にソフトウェアアップデートは基本的な対策だ。会社のシステムの都合で公開されたアップデートが適用できない場合もあるが、発見された脆弱性をつぶすアップデート(セキュリティパッチ)は、システムの安全を担保するための必須条件ともいえる。

最新の対策が数多くでているが、それらをすり抜けてきた脅威に対する最後の砦となるのが、PCやスマートフォン本体に脆弱性がないこと、アンチウイルスソフトが稼働していることである。

3. パスワードやアカウント情報は共有しない
4. 強度の高いパスワードを利用する

これらは説明するまでもないことだが、アカウント情報やパスワードは個人に強く結びついた情報である。仮に上司やシステム管理者だとしても、規定外のアカウント共有やパスワードを教えるといった行為は厳禁だ。それを軽はずみに要求する上司・管理者は疑ってもいい。

パスワードの強度については、各種の議論はある。現在はなるべく長い文字数であることが最低条件とされる。8文字以内、といった制限があると、文字種を複数組み合わせても解読の対策にならない。定期的に変更するより、疑いやインシデントが発覚した時点で変更するほうがよい。古いシステムは3種以上の文字種や有効期限(定期変更のため)を設定しているものもある。システムの制限なので従うしかないが、それをもって安心と思わないことだ。

多数のパスワードの管理は、パスワードマネージャを利用するか、システムをシングルサインオンで設計する。FIDO2といったデバイス認証とクラウド認証を組み合わせた認証は、ログインの簡略化と、なりすましやパスワード漏洩に対して効果が期待できる。

新しい技術や対策をキャッチアップすることは、セキュリティ対策に求められるスキルだ。「パスワードは複雑に類推しにくく。メモはとるな。定期的に変更せよ」といった運用をしているなら、早急にシステム更新やルール変更を検討すべきだろう。

5. 多要素認証を利用する

現在のセキュリティ対策において、すでに必須要件といってもいいだろう。クラウドやテレワークの普及によって、業務システムにログインするデバイスが会社PCを前提にできなくなっている。ユーザーはパスワードだけで認証するのではなく、他デバイスでのワンタイムパスワードやトークンによる認証と併用することで本人確認を確実にする。

多要素認証を設定しておくと、自分が関知していない不正ログインに適切に気付くことができる。リスクベースの追加認証とともに導入すべき対策だ。

6. フィッシングや詐欺など不審なメール、メッセージ、サイトに注意する
7. フェイクニュース、偽広告に注意する

フィッシングや詐欺メールは、注意をしていてもだまされるときはだまされてしまう。普段は詐欺だとして取り合わない「不在配達の確認」「アカウント凍結の解除」のようなメッセージも、たまたま身に覚えのあるタイミングだった場合、ベテランやセキュリティの専門家でもだまされてしまうことがある。

自分はだまされない、という気持ちを攻撃者は見透かしている。不審かどうかの判断は、状況に依存する。画一的な基準で機械的な判断ができない。日頃の注意、慌てたときほど冷静になる訓練が必要だ。

フィッシングや詐欺メール、BEC詐欺では、AIを利用して声や画像も本物と区別がつかないようなものもある。見たものすべてを疑う必要はないが、本物と見分けのつかない情報や画像が存在するという事実を認識しておく必要がある。

8. 無料Wi-Fiの接続に注意する
9. USBメモリなど外部記憶媒体の取り扱いに注意する

デバイスやハードウェアに関するセキュリティは、いまやWi-FiのアクセスポイントやUSBメモリなどに注意していればいいというわけではない。とくにハードウェアや記憶媒体、伝送媒体は常に進化・変化をしているという前提に立つ必要がある。

会社の規定でUSBメモリは禁止されているが、他は禁止事項がないとしても、プリンタやネットワークカメラなら安全ということではない。テレビ、ロボット、ネット家電、自動車など接続させるデバイスごとのリスクを踏まえたうえで利用することが求められる。

とはいえ、このテレビはAndroidが使われておりこの脆弱性が存在する、といった細かい判断まではできない。すべての機器に同じ注意が必要とは限らない。だが、不安に思ったら専門家や担当者に確認する意識は持っておきたい。

10. PCやスマホの画面ロック・デバイスロックを有効にする

PCやスマートフォンのパスキーやロック画面は必ず設定する。できれば顔認証、指紋認証など生体認証を利用する。デバイスのロックは、パスキーや認証情報がデバイス本体に記憶され、サーバーなどには保存されない。したがって、総当たり攻撃をかけるにも、デバイス本体が必要になる。

生体認証ならば基本的に本人も必要になる。FIDO2のようなパスワードレス認証において、デバイス内で完結する認証(生体認証など)は、本人性の確認の基本となっている。シングルサインオンのシステムでも本人確認の基準とすることができる。

生体情報が保存されることに抵抗感があるかもしれない。だが、デバイス認証において、認証情報は高度に暗号化されている。デバイスによってはチップレベルで暗号化される。また、保存される情報は、顔や指紋のデータではなく、それらを画像解析した特徴点のデータである。

当たり前の行動を生かすために

最後に、上記のような当たり前の行動を生かすためのポイントを2つ紹介する。

・情報に対する価値と責任を認識する
情報資産という言葉があるように、システムやデータは企業や組織の重要な資産であり価値があるという認識を持つべきだ。情報資産を扱う、持つということは守る責任と義務(業務)が発生する。

ログインIDは、システムを使う権利を与えられていることになる。権利には義務が伴うのは道理だろう。企業にとって経営データや顧客情報などは経営資産だ。だが、資産だからといってたくさん集めればいいというわけではない。伴う責任と義務に見合わないデータは持たないという判断も重要である。

・役職や部署に関係ない情報共有
報連相という言葉がある。本質はこれに近いが、この便利な言葉はともすると目的化しやすい。報告や連絡をすればOKという認識につながると危険だ。あえて情報共有としたのはそのためだ。

情報共有で重要なのは、事実の漏れ、隠蔽がないことだ。プロセスやフローにこだわりすぎると、重要な情報が欠落したままオペレーションが進んでしまう。おそらくそれ以降の意思決定はすべて悪い方向に向かう。また、情報の洩れや隠蔽は、知見として蓄積されず、改善を遠ざける。報告が誤報であっても、リスク管理上では「被害がなかったのならOK」とする意識が、とくに経営層・管理者に求められる。

以上の2つを日々の行動に組み込むだけで、前述10項目への認識や対応も変わってくるだろう。