4月に新社会人になるみなさんは、セキュリティについて意識したことがありますか。企業や組織の一員になるとパソコンやスマホを利用する時の不注意が個人だけの責任では済まなくなることがあります。あなたの行動がきっかけで情報漏えいなどを招けば、自身の立場を悪くするだけでなく、勤務先も社会的な信用を失ってしまいます。自身のセキュリティ成熟度をチェックし、社会人として必要なセキュリティ知識を身につけていきましょう。
従業員一人ひとりがセキュリティ意識を持たなくてはなりません。たとえ、専任部署がセキュリティポリシーを策定し、さまざまな技術的対策を講じても、従業員のセキュリティ意識や協力がなければ効果は限定的なものになってしまいます。すべての従業員には適切なセキュリティ知識を身につけ、勤務先の規定に従って行動することが求められるのです。
オフィスや出先でパソコン作業中に離席する際は必ずスクリーンロックをかけてください。これはパソコン画面を専用のロック画面に切り替えることで第三者に作業内容を盗み見られたり、勝手に操作されたりすることを防ぐ仕組みです。ただし、簡単に推測できるパスワードや暗証番号ではロックをかける意味が薄れてしまいますので注意しましょう。一定時間操作しないでいるとパソコン画面が自動でロックされる設定を有効にし、スリープ状態になるまでの時間もできるだけ短くしておくとより安全です。
一般にOSやソフトの提供元から更新プログラムが提供された場合すぐに適用し、脆弱性を修正することが推奨されます。パソコン内のOSやソフトの脆弱性を悪用してマルウェア(ウイルスなど不正なプログラムの総称)に感染させる手口もあるためです。ただし、企業によっては更新プログラム適用による社内システムへの影響を事前に検証し、その緊急性と安全性を評価してからアップデートのタイミングを従業員に指示する場合もあります。アップデートのタイミングや方法は勤務先の規定に従いましょう。
OSやソフトに脆弱性が存在するパソコンでは、攻撃者によって改ざんされたWebサイト(脆弱性攻撃サイト)を閲覧したり、Webサイト上に不正広告が表示されたりしただけでマルウェアに感染することもあります。それが原因で業務が停止したり、業務情報が外部に流出したりすれば勤務先に甚大な被害が及びます。このため、多くの企業では業務用に貸与したデバイスの私的利用を認めていません。また、企業や組織側はセキュリティの一環として従業員のWebアクセス履歴などを監視、ログ(履歴情報)の保存をしている場合もあることを知っておきましょう。
勤務先の管理部門から業務サービスへのログインや、アカウント情報の提供を求めるメールが届いた場合は警戒してください。それは、業務サービスのアカウント情報をだまし取るためにサイバー犯罪者が送りつけてきたフィッシングメールかもしれません。メールのリンク先でアカウント情報を入力してしまった場合、業務サービスのアカウントに不正アクセスされる可能性があります。業務サービスへのログインは必ずブックマークに登録した公式サイトか、社内イントラに記載されたリンクから行いましょう。
勤務先の許可を得ることなく私用のクラウドメールを利用するのは厳禁です。有償、無償サービスにかかわらず、サービス事業者のミスやサイバー攻撃、認証情報(IDとパスワード)の漏えいなどが原因で、そこに保存された業務データや個人情報が流出してしまう可能性もあるためです。また、データが消失、流出しても損害が補償されない場合もあります。組織の情報は重要な資産ということを忘れないようにしましょう。
テレワークにおけるフリーWi-Fi(公衆Wi-Fi)の利用は、勤務先の許可を得ていることが前提です。フリーWi-Fiを不用意に利用すると通信内容を盗み見られたり、不正サイトに誘導されたりする可能性があるためです。実際、フリーWi-Fiスポットの中には利用者の利便性を優先するためにあえて通信を暗号化せず、パスワード認証なしにつなげるようにしているものもあります。また正規のフリーWi-Fiスポットの周辺に同名、あるいは似た名称のSSID(ネットワーク名)を持つ偽Wi-Fiスポットを設置し、そこに誤って接続してしまう利用者を待ちかまえる手口もあります。フリーWi-Fiにつなぐ場合はVPNソフトを利用して通信を保護するなど、勤務先に指定された方法と手順をとってください。公共の場ではパソコン画面にプライバシーフィルターを装着した上で周囲の視線にも気を配り、物理的なのぞき見による情報漏えいも防ぎましょう。
SNSでは業務メールアドレスや勤務先で得た情報などの公開を控えてください。SNSは、特定の企業を狙うサイバー犯罪者にとって格好の情報収集活動の場です。彼らはSNSの公開情報などをもとに標的とする企業で進行している取引や人間関係などを把握します。その上で信ぴょう性を高める詐欺メールを作成、送信し、標的企業の従業員をだましにかかるのです。また、SNSで本来秘密にするべき職務の内容や顧客情報を明かしてしまえば、従業員を監督する立場にある勤務先も信用を失ってしまいます。勤務先が定めるSNSの利用規定を確認しておきましょう。勤務先の許可を得ている場合も社名を公表する以上は節度を持った投稿や発言を心がけてください。
使い慣れたプライベートのSNSで社内コミュニケーションを円滑に行いたいという気持ちはわからなくもありません。しかし、私用のSNSの業務利用がきっかけで情報漏えいを引き起こした場合、勤務先から責任を厳しく追及されます。業務連絡には必ず勤務先で許可されているメールやチャットツールを利用しましょう。
たとえ業務目的でも、勤務先から許可されていないアプリを貸与されている機器に勝手に入れてはいけません。誤って不正アプリをインストールし、端末内の業務情報や顧客情報などを外部に流出させてしまった場合、勤務先の信用問題に発展してしまいます。勤務先が定めるスマホの利用ルールに従いましょう。どうしても業務に使用したいアプリがある場合は担当者の許可を得た上で公式アプリストアから入手してください。
セキュリティ成熟度は高く、社会人としての自覚を持って行動できています。今後もセキュリティ意識を高く持ち続けましょう。
普段からセキュリティ意識を持って行動できていますが、油断は禁物です。さらにセキュリティ知識を深めていきましょう。
勤務先を危険にさらす行動を無意識にとっているかもしれません。勤務先が定めるガイドラインやセキュリティポリシーを確認し、それに従って行動しましょう。
あなたの不注意が勤務先を危険にさらしてしまうかもしれません。勤務先が定めるガイドラインやセキュリティポリシーを確認するとともに、本内容をもう一度学習しましょう。
あなたの不用意な行動が勤務先を危険にさらしているかも!?勤務先が定める規定を確認し、社会人としてセキュリティを意識することから始めましょう。
Q1.セキュリティの専任部署や担当者がいる場合、一般従業員はセキュリティを意識する必要がない。
Q2.パソコン作業中、些細な用でその場を離れる場合でもスクリーンロックをかけておくべきだ。
Q3.脆弱性(セキュリティ上の欠陥)が報告されていたソフトの更新プログラムが公開された。業務に使用するソフトの場合は公式サイトから最新版をすぐにインストールする。
Q4.休憩中に会社から支給された業務用パソコンで私的なWebサイトを閲覧した。休憩時間中であればなんら問題がない。
Q5.勤務先の管理部門から「パスワードの変更期限です。ここからログインしてください」と呼びかけるメールが届いた。できるだけ早くメール内のURLリンクを開き、パスワードを再設定しなければならない。
Q6.業務メールを私用のクラウドメールアドレス宛に自動転送している。勤務先の許可は得ていないが、外出先でも仕事を進めるためには仕方がない。
Q7.勤務先からテレワーク(リモートワーク)を許可されているため、カフェのフリーWi-Fiにつないで業務にあたっている。
Q8.仕事の交流を深めることが目的でも、不特定多数に公開するSNSで勤務先情報をむやみに書き込んではならない。
Q9.業務効率や利便性を高めるため、私用のSNSを同僚との業務連絡ツールとして使っている。
Q10.組織から貸与されているスマホに、業務効率が上がるアプリをインストールした。娯楽アプリではないので問題ない。
参考:学習資料、クイズで学ぶ!働く大人なら最低限知っておきたいネットセキュリティの基本2020公開
