記事番号:T00113811
人が一番危ない?
社内ネットワークやサーバーへの直接的な攻撃は物理的に概ね防げますが、それよりも厄介なことは人への攻撃です。
相手をだまして大切な情報を手に入れる手法は「ソーシャルエンジニアリング」と呼ばれます。悪意を持つ者が人間の心理や信頼を悪用して機密情報やアクセス権を不正に入手する方法のことです。
その代表的な手口は、電話やメール、SNSやWEBサイトなどを通じて情報を引き出す方法です。SNSで友達になり巧みな話術で機密情報を聞き出したり、悪意のあるリンクを送りつけたり、金銭と交換に機密情報を得たりします。
台湾では社員同士がLINE(ライン)で社内連絡や取引先とやりとりをする光景を見受けますが、危険です。特に個人のLINEでは離職したときにライン上でやりとりされた情報を会社として消せないので全て持ち去られると考えて良いでしょう。もしもその情報が漏えいしても会社側が安全対策を施していないならば本人を訴えるのは困難です。
Chatwork(チャットワーク、日本国内利用者数No.1のビジネスチャット:https://go.chatwork.com/ja/)のように会社が社員のアカウントを管理できるサービスを使いましょう。
内的脅威への防御
内的脅威から社員を守るための方法を3つご紹介します。
情報セキュリティ規約の整備:透明性があり実行可能な規約を作成。全社員が理解できて守れることが重要です。特に機密情報の取り扱いや社外とのコミュニケーションに関しては具体的に記して、厳格に守るよう社員に促しましょう。
情報共有の慎重な管理:社員へ情報を共有する際には慎重さが必要です。社員からの情報アクセス権限を決めて管理しましょう。例えば就業規則へは全社員がアクセス出来ますが、顧客情報へは営業部門だけに限るなどです。
社員のトレーニング:規約を守らせたり管理と監視をおこなう上でトレーニングは欠かせません。社員に対して情報セキュリティの知識を高めると共に事故を起こさないように具体的な安全対策を訓練で身に付けさせます。座学と合わせてグループ討議や演習を取り入れると効果的です。トレーニングは記憶が薄れないよう半年に1回はおこなうとよいです。
リスクの棚卸し
「外的な脅威」と「内的な脅威」のお話をしてきました。貴社に当てはまりそうな脅威はどのくらいありましたか?自社への脅威がわからなければ対策を打てません。そこで情報セキュリティの第一歩として情報に関する社内リスクを洗い出してみては如何でしょうか?
弊社では、リスクの洗い出しと分類から、リスク分析と評価、リスク対策と運用までを一貫してお手伝いできます。詳しくは弊社へご相談ください。
宇都宮武則
台湾のコンサルティングファーム初のISO27001(情報セキュリティ管理の国際資格)を取得しております。情報を扱うサービスだからこそ、お客様の大切な情報を高い情報管理手法に則りお預かりいたします。
ワイズコンサルティンググループ
威志企管顧問股份有限公司
Y's consulting.co.,ltd
中華民国台北市中正区襄陽路9号8F
TEL:+886-2-2381-9711
FAX:+886-2-2381-9722