従業員に教育すべき情報セキュリティの基礎13選

ちょっとした気のゆるみや怠慢から生じがちな情報漏えいを防ぐには、従業員に対するセキュリティ教育が重要です。どれほど高機能のセキュリティ機器やセキュリティソフトを導入しても、従業員のセキュリティ意識が低ければ、事故を防ぐ効果は乏しく絵に描いた餅といってよいでしょう。だからこそ、セキュリティ教育は、従業員の意識啓発に役立つような説得力と論理性を備えたわかりやすい内容であることが求められます。

ここではそんな従業員教育に役立つよう、総務省「社員・職員全般のための情報セキュリティ対策」と、独立行政法人　情報推進処理機構（IPA）が発行している「情報セキュリティ読本―IT時代の危機管理入門」をふまえて、従業員に周知させるべき社内セキュリティ対策を13項目にまとめ、要点を解説します。

１）ノートパソコン持ち出し時の対策を怠らない

ノートパソコンの外部持ち出しは情報漏えいのリスクを伴います。これを軽減するためには、従業員が次のような対策をとることが求められます。

持ち運ぶ必要のない機密情報、個人情報は格納しない。
ハードディスクに保存するファイルは、なるべく暗号化する。誤って添付し、メールを送信してしまってもパスワードが入っていればまずは安心です。
容易に推測されにくいログオンパスワードを設定して、他人には利用できないようにする。もしくは、指紋認証などの生体認証付きのノートパソコンを使用する。
扱うデータの重要性によっては、OSだけでなく、BIOSやハードディスクにもパスワードを設定するなど、より強固な対策を検討する。

ただし、これらの対策はいずれも情報漏えいのリスクを「軽減」するにすぎません。外部へのノートパソコン持ち出し自体、情報セキュリティ上の危険性を伴うことを常に念頭に置いて行動するようにしましょう。

２）持ち運び可能なメディア利用時の対策を怠らない

可搬性のあるメディアを利用する際の、情報漏えいに対するリスクを軽減するためには、次のような対策が有効です。

持ち運ぶ必要のない機密情報、個人情報は格納しない。
ファイルは、できるだけ暗号化して保存する。
コンピュータの設定を変更し、USBメモリの自動再生機能を停止する。
USBメモリを差し込んだときには、ファイルを開く前に必ずウイルスチェックを行う。

３）私物の機器やプログラムを安易に持ち込まない

BYOD（Bring Your Own Device）“自分の端末を持ち込んで仕事をする”ことは、コスト削減や効率化といった観点からは歓迎すべきですが、危険性が高い行為です。持ち込んだ私物のパソコンやUSBメモリなどがウイルスに感染していた場合は、企業内の他のパソコンやサーバーに感染を広げる可能性があります。そのウイルスがスパイウェアであった場合は、大切な業務情報がインターネットを通じて流出しかねません。

同様の考え方から、業務に関係のないプログラムの利用や持ち込みも慎むべきです。どうしても必要な場合は、事前に安全な環境で動作確認を行ったうえ、管理者の許可･管理の下で利用することが望ましいでしょう。

関連記事：企業が検討するべきBYOD導入における課題とその解決方法

４）安全なパスワードの管理を徹底する

他人に自分のユーザーアカウントを不正に利用されないようにするには、適切なパスワードの管理（安全なパスワードの作成、保管、定期的な変更）が重要です。

安全なパスワードとは、他人に推測されにくく、ハッキングツールなどの機械的な処理で割り出しにくいものをいいます。安易なパスワードを設定したり、自分のパスワードを周囲が知っていたりする状態で、なりすましや機密情報の流出が起こった場合、自身の管理責任を問われることもあります。

５）ウイルス感染予防に気を配る

ウイルスに感染すると、インターネット上に個人情報や機密情報が流出したり、盗み出されたり、取引先にウイルスが含まれた電子メールが送られたりするリスクがあります。日々の予防策として、ウイルス対策ソフトをインストールし、ウイルス検知用データを常に最新のものに更新しておく必要があります。

また情シス部門との報・連・相も大切です。ウイルスに関する連絡には注意を払い、不審な電子メールが届いた場合はすぐに相談するようにしましょう。

万が一ウイルスに感染した場合は、コンピュータのLANケーブルを抜くなどの方法で、社内のネットワークからコンピュータを切り離し、その上で速やかに情シス部門に相談することが重要です。

６）悪意のあるホームページに接触しない

ホームページによっては、閲覧しただけでウイルスに感染したり、コンピュータシステムを破壊されたりしてしまうものもあります。まずはウイルス対策ソフトを導入するか、プロバイダによるウイルス対策サービスを利用しましょう。その上で、不審なホームページはできる限り閲覧しないことが大切です。また、パッチ等の修正プログラムを確実に適用し、Webブラウザは常に最新の状態を保つことも重要です。

７）ソフトウェアの情報セキュリティ対策を怠らない

Webブラウザや電子メールソフト、OS、Officeアプリケーションなどのソフトウェアには、時間の経過とともに、セキュリティホールと呼ばれる不具合が発見されることがあります。

VAIOなどメーカーのホームページなどでは修正プログラムを配布しているので活用しましょう。

参照：VAIO株式会社「パソコンサポート」

８）バックアップをこまめに行う

バックアップには、バックアップ用のファイルサーバーやインターネット上のオンラインストレージ、外付けのハードディスクにコピーする方法、CD-RやDVDメディアなどの外部の記憶媒体を利用する方法などがあります。どのようなバックアップ方法を推奨しているか、まず情シス部門に確認するか社内ルールで確かめた上で決定しましょう。

なお外部の記憶媒体にバックアップされた情報を、外に持ち出したり、机の上に放置したりすることは避けましょう。鍵のかかる場所に保管するなど、適切な方法が求められます。

９）ソーシャルエンジニアリングに細心の注意を払う

ソーシャルエンジニアリングとは、ネットワークに侵入するためのパスワードなどの情報を、コンピュータを使用せずに盗み出す方法です。自分のユーザー情報の漏えいが、組織全体のセキュリティを脅かしうることを自覚し、下記のような行動に対しては十分な注意を払うようにしましょう。

肩越しにキー入力を見る（ショルダハッキング）
ごみ箱を漁る（トラッシング）
電話でパスワードを聞き出す（システム管理者や友人を騙る手口）

１０）ボット対策を軽んじない

ボット（BOT）とは、コンピュータを外部から遠隔操作するためのコンピュータウイルスです。感染したコンピュータはボットネットワークの一部に組み込まれてしまい、遠隔操作によって、持ち主の知らないうちに「迷惑メールの配信」、「インターネット上のサーバーへの攻撃」、「感染活動」といった犯罪行為を行います。また、感染したコンピュータに含まれる個人情報を盗み出す「スパイ活動」などの手口も存在するため、注意が必要です。

迷惑メールや感染活動などの被害を受けたコンピュータからは、ボットに操られたコンピュータが加害者に見えます。誤認を防ぐためにも、以下のボット対策は重要です。

ウイルス対策ソフトの導入とウイルス検知用データの更新
セキュリティホールを塞ぐためのOSやソフトウェアのパッチの適用
パーソナルファイアウォールの導入

１１）コンピュータ（メディア）の廃棄を安易に行わない

データを削除したり、ハードディスクをフォーマットしただけで、コンピュータを処分する行為は危険です。画面上でデータが消えて見えても、特殊なソフトウェアを利用すると、削除したはずのファイルの復元が可能です。
情報資産の重要度に応じて下記の方法を組み合わせ、最適な手段を講じましょう。

データ消去用のソフトウェアを利用する。
専門業者のデータ消去サービスを利用する。
コンピュータのハードディスクを取り出して、物理的に破壊する。

関連記事：PCの処分にはいくらかかる？3つの選択肢と注意するべきこと

１２）守秘義務を自覚する

「業務上知り得た情報を口外しない」ことは、守秘義務として、情報を取り扱う上で一般的なモラルです。自分では悪意がなくても、例えば下記のような行為は守秘義務違反となる可能性があります。

不特定多数の人が集まる集合ビルの喫煙所で仕事をする
業務に関係のないブログや掲示板に、自己紹介のつもりで、仕事の話をアップする

特にSNSでは、誰でもが簡単に情報の発信者となりえます。自分自身の日記をしたためるような気軽な感覚で、業務に関する情報を安易に発信するケースが増えています。情報をぼかして発信したつもりでも、インターネット上の各種情報と組み合わせることで特定されてしまい、企業に多大な迷惑をかける事態を招きかねません。