従業員向けセキュリティ教育のネタ
情報セキュリティマネージメントというと、必ずやらないといけないのが従業員教育。
しかし、古めかしいe-learningツールで、nextボタンをポチポチしつつ、つまらない動画を見る教育コンテンツは、はっきり言って意味ないと思うし、苦痛でしかない。とはいえ、カスタマイズして数百人の従業員にデリバリーするほど工数も割けない。
自分の会社の場合、KnowBe4というプラットフォームを契約して、オンボードや年次の必須教育をデリバリーしているが、これらは、なるべく苦痛にならない程度のボリュームのものを選んで、宿題でやってもらう感じにしています。事前に読んでチェックしなければいけない利用規程(Acceptable Use Policy)を読ませて、読みましたチェックを押してもらう、などもKnowBe4でやっています。しかし、さすがに全部のエッセンスが入ったコンテンツを割り当ててしまうと、普通に1hとか超えてしまうため苦痛感が増します。よって、オンボードの際は、事前に資料のリンクを渡して、当日はポイントだけ解説しつつ、口頭で補足しないと理解が難しいもの(個人情報保護法とか医療情報の安全管理ガイドラインとか)をインタラクティブにやる、という合せ技を使って対応しています。
本エントリーでは、じゃあストック情報として、どんなものを教育コンテンツとして置いておくか、という観点で、自分の考えをまとめてみたものです。ご自由にお使いください。
なお、この一般的な教育コンテンツに加えて、SNS発信に関するガイドライン、会社として情報の守秘区分を定め、その守秘区分ごとに守るべきルールを定めた情報管理のガイドライン、法令遵守について定めたコンプライアンス教育などは、これと別途必要なので、そこはまた別エントリーで書こうと思います。
情報セキュリティ教育
組織の情報資産を守るためには従業員の皆さんのご協力が必要です。
本資料の内容を参考に、安全管理にご協力をお願いいたします。
1. パスワードの安全管理
組織のセキュリティ保護の観点で、パスワードの安全管理は最も基本かつ重要です。
複数のサービスで同じパスワードを設定すると、いずれかのサービスでパスワード情報の漏えいが発生した場合に、同じパスワードを利用していたサイトに侵入されるリスクがあります。パスワードの使いまわしを避けるよう、パスワードマネージャーの利用を推奨します。
(1) 安全なパスワードを設定する
8文字以上、英数字の組み合わせなど、組織のポリシーを守ってパスワードを設定しましょう。
複雑さよりも長くて忘れにくいものを使いましょう。
(2) パスワードの使い回しは避ける
パスワードを設定する際は、サイトごとに異なるパスワードを設定しましょう。自分で考えながら安全なパスワードをサイトごとに設定するのは困難なので、パスワードマネージャーを積極的に使いましょう。
Google Chromeのパスワードマネージャーには、漏えいパスワードを検知する仕組みが備わっています。一度確認して、漏洩したパスワードを使いまわしているサイトがないか、チェックしましょう。
パスワードマネージャに保存されていない場合は、以下のサイトを使用して過去の漏えいがないかチェックすることもできます。(英語のサイトですが、簡単にチェックできるのでおすすめ)
2. PCの安全管理
業務利用するパソコンやスマートデバイス(スマートフォン、タブレット等)の安全管理を行ってください。
- Windows UpdateやMac OS、iOS、Androidのアップデート、Google Chromeブラウザのアップデートなど、業務に使用するソフトウェアを常に最新に維持するように心がけましょう。
- 一定時間操作がないときに画面ロックがかかるように、スクリーンセーバーを設定しましょう。携帯とパソコンを同期して、パソコンから離れると自動でロックがかかる方法もあります。
- 席を離れる時は、スクリーンロックをかけましょう。
- トイレに行くとき、休憩に出るときなど、席を離れる場合は、他人に操作されないようスクリーンロックを行うように心がけてください。
- ショートカットキーを覚えると便利です。
- (Windowsの場合) Windowsキー + L でスクリーンロックがかかります。
- (Macの場合) command + control + q の3つのキーを押すとロックがかかります。
- Note PCで作業する場合は、覗き込み防止フィルタを使いましょう。
- 電車の中、カフェ等、他人から覗かれるリスクのあるところでは、必ず使用しましょう。
3. フィッシング対策
フィッシングは最も身近な脅威の一つです。突然、自社の社長を名乗り支援を求めるメールが届いたり、取引先の会社のメールアドレスから、パスワードで暗号された添付ファイルが送られてくる等、みなさんも少なからず経験があるかと思います。
過去に実際にあった事例をいくつかピックアップします。
- 取引先企業が攻撃者に侵入され、過去の実際のやり取りをコピーしつつ、返信メールの形で振込先口座の変更を伝えるメールが送信されてきた。担当者は当初メールで変更内容について確認していたが、不審に思い電話で担当者に詳細確認したところ、フィッシングであることが判明。
- 実際に振込先を変えてしまい3.8億円の詐欺被害にあったのが日本航空。(参考リンク)
- 取引先企業から、パスワードで保護されたZipファイルが送られてきた。いつも、機密情報をパスワード保護で送ってくる会社なので、何も考えずにZipファイルを開いたところ、ウィルスが検知されてブロックされた。検知されたファイルがEmotetだったので、取引先がEmotetに感染している状況が判明。
- ロシアがウクライナに侵攻した2022年2月頃は、Emotetの感染が爆発的に増えていました(参考リンク)
フィッシングは巧妙化しており、上記のように取引先が攻撃に使われるようなケースでは、見抜くことが難しいでしょう。しかし、ある程度共通して注意して見るべきポイントはありますので、以下のゲームをやりながら、フィッシングメールへの対応方法を学習しましょう。少しでも怪しいと思ったら、セキュリティ担当に相談してください。
4. マルウェア対策
フィッシング対策の事例紹介にもあるように、添付ファイルという形式でマルウェアが送られてくるケースや、フィッシングメールに埋め込まれたリンク先がマルウェア配布サイトであるケース、評価版や体験版などの形態でマルウェアが埋め込まれるケースなど、マルウェアは様々な経路から入ってきます。Excelマクロを実行したときに、不正なコードが実行されマルウェア感染するケースなどもあります。
Windowsについては、標準で入っているWindows Defenderである程度効果的に防ぐことができる状態ではありますが、過信は禁物で、これらの検知をかいくぐるテクニックを持つマルウェアは世の中に多く存在します。最近は、Chromeの画面上にポップアップで、「ウィルスに感染している可能性があります」といった偽の警告を出す迷惑サイトもあり、驚いて画面上のボタンを押すと、マルウェアがダウンロードされてWindows Defenderが検知してブロックする、といったケースも問い合わせとして受けています。
ブラウザのポップアップでウィルス感染の警告を行うケースは、通知機能を悪用されるケースに該当します。Chromeの「プライバシーとセキュリティ」>「サイトの設定」にいって、通知をクリック、通知の送信を許可するサイトに、許可した覚えのないサイトが含まれていないかチェックしましょう。
Macはウィルス感染しないから大丈夫、と思っていませんか? Macに被害をもたらすランサムウェアやマルウェアはゼロではありません。Windowsと同じように、不審なリンクをクリックしない、添付ファイルをむやみに開かない、ゲームの体験版など業務に関係のないソフトウェアを入れようとしない、といった、基本的な対策は守りましょう。
5. PCのバックアップ
万が一マルウェア感染してしまった場合やパソコンの故障に備えて、PCデータのバックアップは常に行うようにしましょう。
Google Workspaceを契約している場合は、Driveアプリを入れて、PCのデータをクラウドに同期しておくと、マルウェア感染やPCの故障に備える上で安心です。
OneDrive for Businessを契約している場合は、OneDriveでもクラウドに同期することができます。
ただし、会社のデータは、必ず会社管理のアカウントで利用するようにしましょう[1]。
6. 公衆WiFiの利用における注意点
カフェやイベントスペース、ホテルなど、不特定多数に向けてWiFiを提供している場所が増えています。
便利な反面、使い方によっては、セキュリティリスクがありますので、利用する際は最低限以下を守るようにしてください。
(1) 接続先のSSIDをよく確認
紛らわしいSSIDをつけて、不正なアクセスポイントに誘導して、メールアドレスやパスワードを盗む攻撃があります。WiFi接続時にログインが必要なサイトは比較的よくありますが、SNSのパスワードを求められたり、会社のアカウントのログインをさせるようなケースは、不正なアクセスポイントかもしれません。少しでも怪しいと思ったら、接続を諦めてモバイルルータや携帯のテザリングを使いましょう。
(2) HTTPS通信を利用
WiFiを利用する際の盗聴リスクに対応するためには、HTTPS通信で通信を暗号化して保護することが有効です。URLがhttps://
から始まるHTTPS通信を使うように心がけましょう。
HTTPS通信では、接続先が正しい相手であるか検証することも重要です。「この接続ではプライバシーが保護できません」というエラーが出る場合、接続先が本来の正しい宛先ではなく、偽物のサイトに誘導されているか、中間者攻撃(攻撃者が通信を覗き見する攻撃)を受けている可能性があります。
HTTPS通信でエラーが出る場合は、そのWiFiの利用をやめましょう。
(3) VPNの利用
会社からVPNサービスが提供されている場合は、積極的にVPNを利用しましょう。
公衆WiFi利用時のセキュリティリスク低減に有効です。
7. 自宅ネットワークの安全対策
リモートワークで自宅のWiFiから業務を行うケースが増えていると思います。自宅のネットワークについても、安全管理は必要です。
(1) ファームウェアの更新が提供されているネットワーク機器を使いましょう。
古い製品の場合、外部から攻撃可能な脆弱性があるにも関わらず、更新が適用されず攻撃に対して脆弱な状態になっているケースが多く発生しています。ファームウェアの更新が提供されているか確認して、古い製品は安全なものに入れ替えましょう。自宅がDDoS攻撃の踏み台にされる可能性があります。
(2) WiFiは安全に設定しよう。
一部のネットワーク製品はデフォルトパスワードが固定で、変更しないと悪意を持った人間に悪用されるリスクがあります。ルーターを買ったら、パスワードは必ず変更しましょう。無線方式も、WPA2など暗号化する設定にする必要があります。技術的に難しい場合は、社内の詳しい人に支援をお願いしても良いかもしれません。
(3) 自宅ネットワークに接続している他のデバイスの安全も管理しよう。
会社のデバイスを接続する同じネットワークに上に、個人所有のデバイスが接続されている場合がほとんどだと思いますが、個人所有のデバイスについても、会社PC同様、パッチの適用やマルウェア対策を行うようにしましょう。同じネットワーク上のデバイスがマルウェア感染している場合、そのネットワークに会社のPCを接続した際に攻撃を受ける可能性があります[2]。
(以上)
もっと、こういう内容足したらいいんじゃない?、といったアイデアあれば、インプットいただければ幸いです。
-
情シス向け注意点。OneDriveをバックアップに使う場合は、Domain JoinedしたPCのみOneDrive for Businessの利用を許可する、MDM等でセキュリティポリシを強制して、個人アカウントの利用を制限する等、個人アカウントに会社データが同期されないように制御しましょう。Google DriveのDriveアプリの場合は、パソコン版ドライブによる同期を会社所有のデバイスに制限する、一般向けユーザアカウントの利用を防ぐの実装を行って、会社データが個人のGmailアカウントに同期されないよう、制限を行う必要があります。なお、
会社PCのDrive for Desktopで、個人アカウントをブロックするには、Web Proxyサーバで特殊なヘッダーを入れる必要があるので、リモートワーク中心の場合、SASEやクラウド型Proxyの利用が必要なため、少しハードルが高いかもしれません。 ↩︎ -
情シス向け注意点。会社PCにホストベースのFirewallを設定して横通信をブロックする、といった対策は効果的なので、ポリシーの強制を検討しましょう。 ↩︎
Discussion