top 〉ブログ 〉情報セキュリティとは|概要から事故事例・企業リスクまで紹介

情報セキュリティとは|概要から事故事例・企業リスクまで紹介

 

情報化時代と呼ばれる昨今、企業が持つ情報は常に誰かに狙われています。この記事では、情報セキュリティの概要から、近年の情報漏洩・紛失事故の実態、実際の事故事例、そして事故の際の企業リスクを解説します。また、アスリーブレインズが提供する情報セキュリティ研修、標的型攻撃メール訓練についてもご紹介します。
情報セキュリティとは

そもそも「情報セキュリティ」とは何なのでしょうか。概要をおさらいしてみましょう。

情報セキュリティの概要

情報セキュリティとは、企業の情報を「機密性」「完全性」「可用性」に関わる脅威から守ることを言います。この「機密性」「完全性」「可用性」について、総務省では以下のように定義しています。

機密性

機密性(Confidentiality)とは、許可された者だけが情報にアクセスできるようにすることです。許可されていない利用者は、コンピュータやデータベースにアクセスすることができないようにしたり、データを閲覧することはできるが書き換えることはできないようにしたりします。

完全性

完全性(Integrity)とは、保有する情報が正確であり、完全である状態を保持することです。情報が不正に改ざんされたり、破壊されたりしないことを指します。

可用性

可用性(Availability)とは、許可された者が必要なときにいつでも情報にアクセスできるようにすることです。つまり、可用性を維持するということは、情報を提供するサービスが常に動作するということを表します。
 

【引用】情報セキュリティの概念/国民のための情報セキュリティサイト(総務省)
 https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/02.html
現代は、インターネットやパソコンを使わずに業務を進めることは困難となっています。そんな中で、それらを安定して使うために、機密情報や個人情報などが漏洩したり、ウイルスなどの攻撃を受けたりしないように、情報やそれらを管理するシステムを守ることが非常に重要です。

現代における情報セキュリティ教育の重要性


ここで、現代の情報セキュリティに関するリスクについて深堀りし、情報セキュリティ教育の重要性を確認してみましょう。

情報漏洩・紛失事故は過去最多

まず、情報セキュリティに関するリスクについて見ていきます。東京商工リサーチ「2022年 上場企業の個人情報漏えい・紛失事故調査」によると、上場企業およびその子会社において、個人情報漏洩・紛失事故の件数は165件となりました。また、漏洩した個人情報は実に592万人分以上にのぼるということです。事故件数については、この調査が開始されて以降、11年間で最多となっています。
また、サイバー犯罪も増加しています。警察庁「令和4年の犯罪情勢」を見てみると、2022年の企業・団体等におけるランサムウェア被害の報告件数は230件と、前年の146件を大きく上回りました。

 

【出典】令和4年の犯罪情勢/警察庁
 https://www.npa.go.jp/publications/statistics/crime/r4_report.pdf
【出典】2022年「上場企業の個人情報漏えい・紛失事故」調査/東京商工リサーチ
 https://www.tsr-net.co.jp/data/detail/1197322_1527.html

実際のセキュリティ事故の事例

企業では、どのようなセキュリティ事故が起きているのでしょうか。実際の事例を見てみましょう。

顧客のメールアドレスが漏洩

多くの顧客が登録している企業のメールマガジンですが、ある企業ではそのメールアドレスが人為的ミスによって大量に流出してしまいました。本来「BCC」に設定するなどして、メールアドレスが他者から見えないようにすべきところ、担当者がすべてのアドレスを「TO」や「CC」に入れてしまったのです。それにより、メールを受け取ったすべての人に、全員のアドレスが見える状態になってしまいました。

自社の顧客情報が漏洩

セキュリティ対策を万全に整えていたある企業で、電子掲示板に顧客情報が漏洩するという事故が発生しました。原因としては、社員が顧客情報を自宅に持ち帰り、自身のパソコンで作業したところ、そのパソコンがウイルスに感染しており、そこから漏洩したケースが考えられます。もしくは、同じように顧客情報をUSBなどで持ち帰ろうとした社員がその端末を紛失し、拾った誰かがネット上に情報を流したという可能性もあるということです。

標的型攻撃メールで機密情報が漏洩

ある企業で、機密情報が漏洩しました。原因を探ると、ある社員宛に知人になりすましたメールが送られており、それを開いたところパソコンがウイルスに感染してしまったそうです。実は、そのメールは標的型攻撃メールで、そこから内部の機密情報が収集されていたとのことです。ウイルスに感染してもパソコンに変化は無く気が付かなかったそうで、近年のウイルスの恐ろしさを体現したような事案だと言えます。
【参考】事故・被害の事例/国民のための情報セキュリティサイト(総務省)
 https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_case.html

情報漏洩事故が起きた場合の企業リスク

これらの事故が起こった場合、大きく以下のようなリスクが考えられます。
 

 ◎企業の信用やイメージが損なわれる
 ◎事故の被害者への補償などの金銭的な損害が発生する
 

他にも、漏洩した個人情報や機密情報を悪用されてしまったり、時には罰金や刑事罰を受けたりする可能性もあります。企業にとって、情報セキュリティを重視することは、企業を守ることに直結すると言えます。

アスリーブレインズ 情報セキュリティ研修の特徴

アスリーブレインズが提供する、情報セキュリティ研修の特徴についてご紹介します。

特徴①実践的な研修を幅広く提供

アスリーブレインズでは、以下の情報セキュリティ研修をご提供しています。

◎情報セキュリティ研修(eラーニング)
◎情報セキュリティ研修(対面研修)
◎標的型攻撃メール訓練

時間や場所を問わず幅広く知識を身に付けられるeラーニング、グループディスカッションを活用し参加者同士でじっくりと知識を深める対面研修、そして「標的型攻撃メール」について実際に被害を体験し、セキュリティ意識を高めるメール訓練の3種類です。自社の目的に沿った研修を選ぶことができます。

特徴②現場に即した研修を開発

アスリーブレインズは、独立系SIerである株式会社ディ・アイ・システムの 100%グループ会社です。グループ内には現役の開発エンジニアが多数在籍しているため、現場に即した研修を開発・提供しています。さらに、研修と現場のギャップを常に把握し、内容をブラッシュアップし続けています。
また、アスリーブレインズの情報セキュリティ研修は、エンジニア未経験者を対象としています。そのため、なるべく専門用語を使わず、前提知識が無くとも理解が進むような進行を意識しています。

特徴③お客様に合わせたオーダーメイドの研修設計が得意

アスリーブレインズは、お客様の業界や個別の状況に合わせたオーダーメイドの研修(カスタマイズ研修)の設計が得意です。現状の課題をヒアリングし、その解決に向けて、一緒に研修を作り込んでいくことも可能です。

アスリーブレインズの情報セキュリティ研修

この研修は、以下の方々を対象としています。
◎新卒
◎中途採用(エンジニア未経験者)
◎エンジニア以外の従業員

情報セキュリティ研修メニュー

それでは、情報セキュリティに関する3つの研修について詳しくご紹介します。
 

◎情報セキュリティ研修(eラーニング)
◎情報セキュリティ研修(対面研修)
◎標的型攻撃メール訓練

情報セキュリティ研修(eラーニング)

eラーニングで受講できる、情報セキュリティ研修です。

研修内容

研修内容は、以下の通りです。
 

◎情報セキュリティについて
・情報セキュリティとは?
・情報セキュリティにおける脅威
 (外的脅威と内的脅威/各脅威の代表例)
・情報セキュリティ事故への対応
 

◎標的型攻撃について
・標的型攻撃とは
・標的型攻撃の手口
・標的型攻撃による情報漏洩の流れ
・標的型攻撃の特徴
 

◎ランサムウェアについて
・ランサムウェアとは
・ランサムウェアの手口
・ランサムウェア攻撃によるリスク
・発生時の対処

情報セキュリティ研修(対面研修)

対面で、グループディスカッションも活用した研修です。

概要

この研修では、組織における情報セキュリティの必要性を理解します。また、実在するサイバー攻撃の事例やセキュリティ対策から、情報セキュリティの脅威とビジネスにおける影響を学びます。

目的

この研修の目的は、以下の3つです。

◎コンピューターウイルスとマルウェアの特徴を理解する
◎実在するサイバー攻撃事例から、個人が平常業務で留意すべきセキュリティ対策を学ぶ
◎インシデントレスポンスとサイバー攻撃への対策から、組織における情報セキュリティ対策を学ぶ

内容

研修内容は、以下の通りです。

【1】情報セキュリティ概要
 

【2】コンピューターウイルス・マルウェアとは
  ・マルウェア・コンピューターウイルス
  ・マルウェアの分類/遠隔操作ウイルス/文書型マルウェア
 

【3】サイバー攻撃事例
  ・DDoS 攻撃/公開サーバへの脆弱性攻撃
  ・Web サイト改ざん/ソフトウェアサプライチェーン
  ・「CCleaner」によるソフトウェアサプライチェーン
  ・関連組織を狙ったサプライチェーン攻撃
  ・不正アクセスの個人情報漏洩事件
  ・GDPR 一般データ保護規則
  ・遠隔操作ウイルスによるサイバー攻撃 など
 

【4】ソーシャルメディア利用について
  ・ソーシャルメディアとは何か
  ・使い方で広がる可能性
  ・ソーシャルメディアのメリットとリスク
  ・代表的なソーシャルメディア
  ・ソーシャルメディアのトラブル事例
 

【5】情報システムセキュリティ
  ・情報セキュリティとは何か/個人情報の保護 
  ・情報漏えいの危険性 
  ・パソコンの利用における情報セキュリティ 
  ・インターネットの利用におけるセキュリティ 
  ・コンピューターウイルスの脅威 
  ・セキュリティ事故への対応 
 

【6】情報システムセキュリティ(実践編)
  ・情報セキュリティの重要性/アクセス情報の管理
  ・パスワードの管理/コンピューターの管理
  ・電子メールの利用/コンピューターウイルスの脅威
  ・インターネットの利用/情報の持ち出し
 

【7】個人情報保護について
  ・個人情報とは / 個人情報保護法
  ・個人情報取扱事業者/個人情報漏洩事例
 

【8】標的型攻撃メールについて
  ・標的型攻撃メールとマスメール型攻撃
  ・ソーシャルエンジニアリング攻撃とは
  ・標的型攻撃の事例

備考

以下の点にご留意ください。
 
◎対面形式でグループディスカッションを活用した研修を行います
◎当社オリジナルテキストを使用いたします
◎研修後に理解度確認テストを実施いたします

日数

開催日数は、1日間です。

標的型攻撃メール訓練

「疑似体験」で社員のセキュリティ意識を高める、標的型攻撃メール訓練です。

概要

「標的型攻撃メール」の開封防止、開封後の適切な処理対応力を身に付ける訓練として有効なのが、被害の疑似体験をすること。この研修では、実際に擬似的な標的型攻撃メール(無害)を送信することで、その識別方法や対処について学びます。

目的

訓練により従業員が「標的型攻撃メール」への理解を深め、それを開封しないよう見極める力、万が一開封しても適切に処置する対応力を身に付けることを目的としています。

内容

「1回1,000件配信を2回、結果をレポート報告、開封者へのセキュリティ教育」がセットになった訓練です。さらにメール訓練集計日の夕刻を目安に、開封者の一覧表を速報としてご提供いたします。

 

◎送信可能言語…日本語/英語/中国語
◎メール文面サンプル…日本語/英語
◎メールタイプ…URL添付
◎送信数…2,000通
◎配信上限数…1,000通/1回
◎配信回数…2回
◎教材…開封者を対象にした啓蒙教材
◎報告書…開封数・開封率のレポート・開封者一覧

料金

研修料金は、以下の通りです。
300,000円(税抜)
※送信数追加:2,000通/150,000円(税抜)

備考

配信上限数の拡大・講習会・報告会・報告書のカスタマイズ・事後アンケートなど、各種オプションもございます。
 

まとめ

いかがでしたか?ご紹介したように、情報漏洩・紛失事故は年々増加しているものの、原因を探ると情報セキュリティに関する知識を身につけていれば、防げたかも知れないケースも多々あります。セキュリティ対策を強化するだけでなく、同じように社員にもそのリスクを伝え、一人ひとりが情報セキュリティに関する知識と危機感を正しく持つことが非常に重要です。
アスリーブレインズの研修では、情報セキュリティの基礎からサイバー攻撃、個人情報保護まで網羅的に学べる研修をご用意しています。また、「標的型攻撃メール訓練」では、実際の被害を体験し、知識だけでなくセキュリティ意識を高めることができます。ぜひ一度、ご相談ください。
 

研修のご相談