お問合せ
商談予約
お電話
サイバー攻撃の標的は「一般社員」~被害総額を最小化する「当事者意識」の作り方
サイバー攻撃の手口が巧妙化しています。大企業だけでなくあらゆる企業が標的となるため、「うちの会社は大丈夫」という油断は命取りになります。
ひとりの一般社員の何気ない行動が、組織全体を揺るがす甚大な被害につながりかねません。明日から実践すべき具体的な行動について、組織全体のセキュリティ意識を「自分事」へと変えるためのヒントをお伝えします。
被害総額は数億円規模に~業務停止だけで済まないランサムウェアの恐怖
ランサムウェアに感染すると、社内システムやデータが暗号化され、ある日突然すべての業務が停止します。標的はもはや大企業に限定されません。
ある中堅製造業の事例では、取引先を装ったメールの添付ファイルを社員が開いた結果、国内工場だけでなく海外拠点のネットワークまで被害が及びました。システムの復旧には数週間を要し、身代金の要求に加えて専門家の調査費用や機会損失を含めると、被害総額は数億円規模に達しています。
踏み台にされたら倒産危機~サプライチェーン攻撃で問われる企業の損害賠償責任
サイバー攻撃は、セキュリティ対策が手薄な関連会社や取引先を「踏み台」にすることが少なくありません。自社がウイルス感染の起点となり、親会社や重要な顧客の機密情報が漏えいするケースも存在します。
この場合、単なる自社のシステム障害では済まされず、取引先からの巨額の損害賠償請求や、社会的な信用の失墜など、倒産危機に直結する取り返しのつかないダメージを受けることになります。
不自然な日本語はもう古い~巧妙化する標的型攻撃メールを見破る視点
ランサムウェアなどというと、今までとは違うセキュリティ対策が必要なのだろうかと感じますが、本質的には昔からの「ウイルス対策」と変わりません。ただし、その手口は巧妙になり、洗練されてきています。
標的型攻撃メールは、かつてのような不自然な日本語ではなく、AIを駆使した極めて自然な文面で送られてきます。過去のメールのやり取りを引用し、実在する取引先の担当者を名乗るため、一見しただけでは見破ることが困難です。 見破るための視点として、「急いで対応してください」など、読み手の感情を焦らせる文面になっていないかを確認することが有効です。
離席時の画面ロックは基本中の基本~物理的セキュリティの盲点「クリアデスク」の徹底手順
情報漏えいは、サイバー空間だけでなく物理的な環境からも頻繁に発生します。いくらシステム面を強固にしても、複雑なパスワードを覚えきれずに付箋へ書き、モニターに貼っていては意味がありません。
少しの離席であっても必ず画面をロックする習慣に加え、机の上に機密書類や記録媒体を放置しない「クリアデスク」を徹底し、清掃業者や来客の目にも触れないよう管理することが大切です。
多要素認証だけでは防げない~トップ企業が実践する「ゼロトラスト」な日常業務のルール
複数のシステムでパスワードを使い回さないことや、多要素認証の導入は必須の対策です。しかし、それだけでは巧妙な攻撃を完全に防ぐことはできません。トップ企業が実践しているのは、すべてのアクセスを疑う「ゼロトラスト」の考え方を日常業務に落とし込むことです。
メールのリンクを開く前に送信元ドメインの1文字違いを確認し、少しでも違和感があれば「開かずに情報システム部門へ電話で確認する」というルールを徹底することが求められます。
危機感を持ってもらうための施策として「第三者の生々しい声」は有効
情報システム部門が定期的に注意喚起のメールを送っても、多くの社員は「また言っている」と読み飛ばしてしまいがちです。身近な社内の人間からの言葉だけでは、どうしても日常の風景に埋もれ、危機感が醸成されません。最新のサイバー犯罪の手口や、実際に損害賠償を請求された企業の生々しい末路を、専門知識を持つ外部講師が語ることで、初めて社員は「明日は我が身かもしれない」と実感します。
セキュリティ対策は経営課題~外部講師の招致で示す「会社の本気度」と規範意識の向上
外部講師を迎えて講演や研修を実施することは、会社がサイバーセキュリティを重要な経営課題として重く受け止めているという明確な証拠です。通常業務の時間を割いてまで学ぶ機会を設ける取り組み自体が、セキュリティ対策の重要性を社員に強く印象づけるメッセージとなります。結果として、組織全体の規範意識が底上げされ、ルールの形骸化を防ぐことにつながります。
まとめ~セキュリティ攻撃に「関係ない人」は存在しない
サイバー攻撃の脅威は、もはや「対岸の火事」ではありません。ひとりの油断が会社全体を揺るがすダメージをもたらすという事実を直視し、明日から「怪しいと思ったら必ず確認する」「机に情報を残さない」といった具体的な行動を実践することが不可欠です。
(半日研修)情報セキュリティ研修~近年の重大な脅威から学ぶリスク対策
独立行政法人情報処理推進機構の「情報セキュリティ10大脅威」に選出されている、個人情報漏えいやサイバー攻撃などのセキュリティインシデントとその対策を学ぶ研修です。
さまざまな事例を取り上げながら、組織的、人的、技術・物理的なセキュリティ対策について理解を深めます。リアルな現状を知ったうえで、自組織においてどのような対策が有効かを見出せるプログラムです
よくあるお悩み・ニーズ
- 情報セキュリティのリスクがよくわからない
- 脅威を防ぐためにどのような対策を取ればよいか知りたい
本研修の目標
- 情報セキュリティに関する最新の脅威やその具体的な手口を把握する
- 自組織における、セキュリティの脆弱性とリスクに気づく
- インシデントを防ぐための的確な方針を立てられる
セットでおすすめの研修・サービス
情報セキュリティ研修~身近な事例から社内リスクを抑制する
情報セキュリティへの理解を深め、情報漏洩を起こさないための行動や対策を考える研修です。セキュリティの3要素や身近な技術をおさえ、機密情報が載った紙の持ち出しやデータの置きっぱなし、危険なパスワード設定など、リスクにあたることを学びます。
また、業務で使用するWeb会議システムやリモートデスクトップなどのツールに脆弱性があることを知り、正しい使い方を再認識します。
情報セキュリティとサイバーセキュリティ研修(3日間)
サイバー攻撃を中心とするさまざまな脅威と、それに対抗するための情報管理や体制づくりを学ぶ3日間の研修です。
インシデントへの予防と発生後の対応方法について、実際の事例をもとに理解を深めます。
【リスク管理シリーズ】社員向けサイバーセキュリティ研修~事例と実践で学ぶセキュリティの習慣(テスト付き)
多くの組織において、「サイバーセキュリティはIT部門が担う専門領域」であり、「サイバー攻撃なんて特別な人にしか起きない」と捉えられがちです。しかし、実際はサイバー事故の多くは「普通の人」の身近に起きています。とあるデータによれば、インシデントの原因の約7割が、人的ミスや従業員の意識不足によるものという実情があります。
まず初めに被害の様子をデモ動画で体験し、もし怪しいことが起きたらどう動くべきかを考えます。その後、現場で日々お客さまをご支援するコンサルタントが、具体的なアクションを解説する動画コンテンツです。
