オフィスあるある4コマ(第11回)
チャットも会議も電話もマルチタスクを1台で
2017.12.06
情報セキュリティの脅威は偶発的なものと意図的なものに分かれる。偶発的なものは障害と人為的なものにさらに分かれる。今回は人為的なミスが引き起こす脅威への対策について考えたい。
社内の情報資産を洗い出し、脅威から情報を保護する情報セキュリティ対策を進めていく中で、難しいのが「人」の問題だ。いくら情報保護のためのルールを策定しても、それが守られなければ「絵に描いた餅」となる。ルールを守らない社員がいると、そこが全社的な情報セキュリティ上の弱点にもなりかねない。メールの誤送信や、顧客情報が保存されたスマホの置き忘れといったうっかりミスが個人情報漏えい事件に発展する時代である。情報セキュリティ対策を強化するITサービスの検討とともに、忘れてはならないのが社員教育だ。
メールやWebサイトを悪用した標的型攻撃の被害が後を絶たない。毎年、情報セキュリティの脅威を公表しているIPA(情報処理推進機構)の「情報セキュリティ10大脅威 2017」では、組織向け脅威として「標的型攻撃型による情報流出」が前年に続いて1位となった。
標的型攻撃では、「つい、うっかりしてメールや添付ファイルを開き、ウイルスに感染」するケースが多い。こうした手口は周知のはずだが、それでも引っかかるのは攻撃者の手口が巧妙化しているからだ。例えば、攻撃者が正規のアカウント情報(ユーザーID・パスワード)を盗み、本人になりすましてウイルスを埋め込んだ偽のメールを取引先に送信する。取引先は何の疑いもなくメールの添付ファイルを開いて感染する。標的型攻撃の対策としては、社員に対する情報セキュリティ教育の実施が欠かせない。
メールを悪用する標的型攻撃に備えた社員教育、訓練を実施する企業もある。ある企業ではIT部門が中心となり、会社のメールアドレスを持つ社員を対象にセキュリティ研修を実施。脅威の傾向を学ぶeラーニングに加え、定期的に社員に疑似メールを送り、標的型メール攻撃に対する訓練を行っている。
迷惑メールはフィルタリングをかけて隔離していても、標的型攻撃では送信元を偽装しており、隔離されないケースもある。不審メールを不用意に開かないように、日ごろから社員の訓練が必要だ。また、新入社員の研修時にセキュリティ教育を実施するのも有効だろう。入社時から徹底して社員のセキュリティ意識を高める狙いがある。
執筆=山崎 俊明
2022年5月20日(金)① 14時00分〜15時00分(予定)② 18時00分~19時00分
テレワーク関連
新型コロナウイルスの影響もあり、企業におけるテレワークの導入が拡大しました。
一方でまん延防止等重点措置が解除され、今後どのような働き方を目指すべきか迷われる企業様も増えているのではないでしょうか。
本セミナーでは日本テレワーク協会の村田瑞枝氏をお招きし、これからのテレワークのトレンドや、コミュニケーションのあり方についてお話いただきます。
ぜひこの機会にご参加ください。
2022年3月7日(月)~2023年3月31日(金)
法改正関連
2023年導入予定のインボイス制度の対応の準備はできていますか。インボイス制度は、複数税率に対応した消費税の仕入税額控除の方式として導入されます。仕入額控除の要件として、適格請求書発行事業者が発行する「適格請求書」の保存が必要となります。本セミナーではPwC税理士法人 村上 高士氏をお招きし、課税事業者の皆さまの立場で、インボイス制度導入後に何が変わり、どのような影響があるのかを解説します。