新年度。新入社員も含めた組織のセキュリティ意識改革に効果的な対策は?
いよいよ新年度がスタートします。4月は新社会人を迎える時期、みなさまの会社でもその受け入れの準備に追われているのではないでしょうか。また新社会人の方も、新たな生活が始まるにあたり、期待と不安が入り混じった思いを抱いていることでしょう。
このたびトレンドマイクロでは、新社会人(2009年4月に就職予定の20歳以上 310名)と社会人(20歳以上の正社員 721名)を対象に、情報セキュリティに関する意識調査を実施しました。
今回は、調査結果から見えてきた、この時期ならではのセキュリティ対策の見直しについてご紹介します。
「就職を機に情報セキュリティ意識・スキルを高めたい」新社会人
この調査結果によると、実に9割以上(96.5%)の新社会人が「就職を機に情報セキュリティ意識・スキルを高めたい」と考えていることがわかりました。高めたい理由については、「お客様に迷惑をかけるから」「人事評価が下がるなど処分を受けるから」という回答が多く見られます。
結果詳細:
- 自分の情報セキュリティ意識やスキルが「社会人として通用する」:13.9%
-「通用するかどうか不安」あるいは「通用しない」:56.4%
このように、情報セキュリティについて大きな不安を抱えている新社会人を迎えるにあたって、企業は適切な教育と事故の予防策を施す必要があり、教育を行うにあたっては、意欲が高い就職直後のタイミングが効果的です。また、組織全体の意識の低さが招く事故の危険性を考慮し、組織の情報セキュリティ環境全体をこの機に見直すことも検討すべきでしょう。
前述の「理由」から、ここでの不安のキーワードとしては、「情報漏えい」が考えられます。
情報セキュリティへの基本的な意識が足りない新社会人
さらにこの調査では、新社会人は社会人に比べ、基本的な情報セキュリティ対策への意識が足りないことが分かりました。
結果詳細:
セキュリティソフトのパターンファイル(定義ファイル)を常に最新な状態にする
- 「非常に気を配っている」または「やや気を配っている」
[社会人]:70.3%
[新社会人]:57.1%
OS(Windowsなど)の修正ファイル(パッチ)を頻繁に適用する
- 「気を配っている」
[社会人]:57.5%
[新社会人] 35.8%
このように、これらの対応は情報セキュリティ対策において基本中の基本であるにもかかわらず、意識には20%程度の開きがみられます。もし最新の対策を怠れば、そのPCはシステムのぜい弱性を突く攻撃によって不正プログラムへ感染する可能性が高くなり、さらには情報漏えい事故につながるおそれもあります。たったひとりの不注意から企業や取引先が危機に陥るようなリスクは、確実に防止しなければなりません。
例えば、個々のPCに個人向けのセキュリティソフトウェアをインストールしている場合、わざわざそれぞれのPCまで見に行かなければ、パターンファイルの適用やセキュリティの設定、ライセンスの期限などの状況を把握することができません。これでは管理者の負荷は高まる一方ですし、万が一の事故も起ころうというものです。
そこでおすすめしたいのが、組織向けのセキュリティソフトウェア導入による一括集中管理です。これなら社員全員のPCの状況を一箇所から把握でき、一括して最新のセキュリティポリシーの適用が可能になります。
ここでのキーワードは、利用者の意識を必要としない「最新のセキュリティ対策の適用」の必要性です。
共通しているのは、「うっかり」によるトラブルへの心配
さらにこの調査では、社会人の73.1%、新社会人の72.3%が、自分がウイルス感染など情報セキュリティのトラブルを引き起こす可能性があると思っていることが明らかになりました。傾向は異なりますが、いずれも故意ではなく「うっかり」による事故を心配しています。
主な「うっかり」事故としては、スパムメールに記載されている悪質なサイトへのリンクをクリックしてしまう、業務とは関係ないサイトにアクセスし、マルウェアをダウンロードしてしまうといったものに加え、掲示板やSNSなどで機密情報を公開してしまう、などが考えられるでしょう。
このような「うっかり」は不正プログラムへの感染や情報漏えいにつながるため、確実な対策が必要ですが、特に不正プログラムについては、配布サイトやフィッシングサイトの急増が背景にあり、迅速な対応が難しいのが現状です。
上記のような例でいえば、社員があるサイトにアクセスしようとしたとき、あらかじめリンク先の安全性をチェックするような対策が有効です。
さらに、もし危険と判断されたときは、その旨をポップアップで通知するようことができれば、利用者は自分の行動が「組織で管理されている」だけでなく、逆に「危険から守られている」ことを認識し、おのずから情報セキュリティの意識が高まっていくと思われます。
新社会人への教育も兼ねたセキュリティソリューションとは?
これら調査結果からうかがえる、社会人・新社会人のセキュリティに対する不安はどう払拭すればいいのでしょうか。セキュリティの専門家が社員ひとりひとりの行動を監視し、危険な操作を行おうとしたときに注意するのが理想ですが、現実的には不可能です。しかし、トレンドマイクロでは、それに近い環境を提供するセキュリティソリューションを提供しています。
●情報漏えい対策
まずご紹介したいのが「Trend Micro LeakProof」。この製品では、組織で機密情報と指定されたファイルに対してコピーや持ち出し、メールでの送信など禁じられている操作を行った際、クライアントにポップアップメッセージを表示、これらを防止するため、「うっかり」による情報漏えいの予防に有効です。
なお、ポップアップメッセージの内容は自由にカスタマイズできます。さらに、会社のセキュリティポリシーなどを掲載したページにリンクすることが可能ですので、教育的効果も期待できます。
次にご紹介するのが「Trend Micro InterScan WebManager」。このソフトウェアでは、組織のポリシーに従い、業務とは無関係なサイトへのアクセスをブロックすることができます。もし従業員が不適切なサイトへアクセスしようとした場合は、Webブラウザ上に、アクセスが組織のポリシーで禁止されていることに加え、管理者からのメッセージを表示することができます。これにより従業員は、対象となるサイトへのアクセスが禁止されていることを認識するとともに、事故を引き起こす可能性のあるサイトへ「うっかり」アクセスしてしまうリスクがないことも確認できます。
メッセージは啓発的な内容にカスタマイズすることが可能で、また規制の理由も表示されるため、従業員はなぜアクセスがブロックされたかを知ることができます。なお、掲示板などは閲覧のみ許可、書き込みは不可といったポリシーも設定可能なため、必要な情報収集を妨げることなく、不適切な書き込みによる情報漏えいや、組織のイメージ低下といったリスクを低減させることが可能です。
●利用者の意識を必要としない「最新のセキュリティ対策の適用」
個々のPCのセキュリティソフトのパターンファイルやOSの修正ファイルを一括管理するためには、「Trend Micro ビジネスセキュリティ」や「ウイルスバスター コーポレートエディション」といった、組織向けクライアントセキュリティ製品がおすすめです。これらの製品では、各PCの状況を一箇所から確認するとともに、全てのPCのセキュリティ対策を最新に保つことができます。5台以上の環境で、個人向け製品をお使いのお客さまは、ぜひ導入をご検討ください。
●最新の不正サイトへの対応
前述の通り、不正プログラムをばら撒くサイトやフィッシングサイトは日々発生、移動、消滅するため、迅速な対応が困難です。
ここでお役立ていただきたいのが、トレンドマイクロの「Webレピュテーション」という考え方です。「Webレピュテーション」では、世界中のドメインの評価を管理しており、悪質なサイトにアクセスしようとした際にこれをブロック。不正プログラムへの感染や、情報漏えいを防止することが可能です。
こちらは、HTTP / FTPゲートウェイ総合セキュリティ対策ソフトウェアである「Trend Micro InterScan Web Security Suite Plus」、クライアントサーバ向け製品の「Trend Micro ビジネスセキュリティ」、「ウイルスバスター コーポレートエディション」、「Client / Server Suite」のオプション製品である「Webセキュリティサービス」でご利用いただけます。
事故が発生したときに原因を突き止めることは重要ですが、本当に大事なことは、それを「予防」することです。事故の防止とポリシーの「見える化」を進めれば、安全性が確保されるだけでなく、新社会人への教育、社会人への再教育が実施でき、リスクと不安を最小化することができます。気持ちよく新社会人を迎えるためにも、新年度の始まるこの時期にセキュリティ対策を見直し、準備を始めることをお勧めします。
調査結果の詳細についてはこちら:
http://jp.trendmicro.com/jp/about/news/pr/article/20090223104412.html
