第52話 社員へのセキュリティトレーングを有効にするために
トレーニングを繰り返しても効果がない場合
情報漏洩防止に効果的な社員へのセキュリティトレーニングはどういうものであろうか。
教育の回数を重ねることで、情報漏洩リスクが下がるケースもあるし、
残念ながら教育回数を重ねても、情報漏洩リスク低減という点に関しては効果がないケースもある。
効果があがらないケースの1つが、標的型攻撃などだ。たとえ100人の従業員99人が守れても1人のパソコンが感染することで、被害が全社ネットワークに広がる。
このようなケースでは教育で、感染させてしまう社員が100人のうち30人が1人まで減少させることが出来たとしても、やはり社内へのリスクはほとんど変わらない。
ゼロトラスト=社員はミスをする前提
標的型攻撃は「人の判断に頼る」のは最後の砦であり、「人を信頼しない=社員はミスをする前提」でセキュリティ対策を構築するべきである。
業務内容がセキュリティルールと相反する場合
もう1つのケースは、セキュリティルールと業務内容が相反するケースだ。
セキュリティルールが「業務データをUSBメモリなどで持ち出してはいけない」と定めてあっても、業務のノルマが厳しくサービス残業で自宅で持ち帰り仕事をしない限り業務を達成できないケース。このように両者が相反する場合は、セキュリティ教育を繰り返しても、情報漏洩リスク低減の効果は限られるだろう。
情報漏洩事故のうち、社員が不本意で起こしてしまう事故については、教育を繰り返すのではなく、「社員はミスするのが前提」という「ゼロトラスト(暗黙の信頼に依存しない)」観点の対策が重要だ。
コンプライアンスとしても意味
ただ「内部不正」のように、情報漏洩の原因が「社員の意思」によるインシデントについては、セキュリティ教育は意味を持つ。
本人がルールを守らないことによって、情報漏洩が発生した場合の、社会的責任や場合によっては賠償責任が生じる内容は、会社側が社員全員に周知するべき内容だ。
ただし、業務内容とセキュリティルールが相反しない社内体制としてあることが大前提であることは言うまでもない。
企業が役職員に対して「セキュリティ教育」を定期的に実施することはコンプライアンス的にも意味がある。
まとめ
・ゼロトラストは「人を信用しないこと」が前提。
・人に依存せずシステム的に情報漏洩を発生させない仕組み。
・社員のセキュリティ教育で効果があるのは「内部不正」。
・ただしシステム対策と社内体制を整えることが必須。
この記事が気に入ったらサポートをしてみませんか?