企業が取り扱うデータや利用するシステムは、セキュリティ対策が重要です。こうした情報セキュリティにはリスクがあり、しっかりと対策を行わないと、大きな被害が発生してしまいます。そのためにはまず、情報セキュリティ・リスクについて知り、ルールをつくって遵守しなくてはなりません。

しかし情報セキュリティ・リスクの低減は、システムなどでの対応だけでは不十分。もっとも大切な対策方法は、情報セキュリティ・リスク研修だといっても過言ではありません。そこでこの記事では、情報セキュリティ・リスクについて知っておくべき知識や、企業が行うべき対策について解説します。

情報セキュリティに潜むリスク

情報セキュリティに潜むリスク（情報セキュリティ・リスク）とは、企業などの情報システムとデータが、消失や漏えい、利用できなくなるなどのマイナスの影響を生じる可能性を持つリスクのことです。

情報セキュリティ・リスクは大きく2つに分けられます。不正アクセスをはじめとする「脅威」と、セキュリティホールなどの「脆弱性」です。ここでは、それぞれがどのような情報セキュリティ・リスクなのか、解説します。

情報セキュリティの脅威

情報セキュリティの脅威は、人に起因するものと、作業環境に起因するものに分けられます。さらに人に起因する脅威は、意図的なものと、偶発的なものに分けられます。

・意図的脅威

人間による、悪意ある行為によって行われる脅威です。外部の人間による脅威と、内部の人間による脅威があります。

例えば、標的型攻撃やWebサイト改ざん、マルウェアや不正アクセスなどは、主に外部の人間による脅威です。内部の人間による脅威には、金銭目的に機密データを持ち出すといった脅威などがあります。

・偶発的脅威

故意でなかったとしても、従業員の不適切な行動によって呼び込む情報セキュリティ・リスクもあります。

例えば、従業員が外部に持ち出した記録媒体やノートPCなどが、紛失や盗難にあった場合、またシステムの操作ミスによって発生した情報漏えいなどです。

なお仮に持ち出しを禁止するルールが存在していたとしても、ルールを守らない行動をした場合、脅威に直結してしまいます。

・環境的脅威

地震や台風、落雷や火事などの自然災害、高気温や高湿度といった異常気象もこれに該当します。

例えば、電気が利用できなくなり、サーバが停止したり破損したりして、情報の消失や機能が停止するリスクが考えられます。もちろん災害などで、建物が使えなくなることもあるでしょう。医療や公共交通などでは、環境的脅威による被害が発生すると、社会への影響も多いものとなってしまいます。

情報セキュリティの脆弱性

情報セキュリティ・リスクは、情報セキュリティの脆弱性にも存在します。脆弱性は、脅威によって突かれる弱点だからです。

・ソフトウェアの脆弱性

OfficeやOS、Webブラウザなどのソフトウェアには、潜在的不具合や、時間の経過によって発生する不具合が発見される場合があります。悪意ある者の攻撃手法は、主にこうした不具合を利用したものです。

例えば、メールの開封やWebサイトを閲覧しただけでマルウェアに感染させるといった手口も、不具合を利用しています。

・管理文書・体制の不備

ソフトウェア仕様書や、操作手順書の不備なども脆弱性です。また情報管理やルールといった体制の不備も脆弱性となります。

こうした不備は、ソフトウェア障害や誤操作につながることや、セキュリティ事故の発生や対応に時間がかかるといった問題の原因となるからです。

・立地

災害に見舞われやすい土地や、停電が発生しやすい場所といった立地も、脆弱性です。こうした場所に企業やデータセンターがある場合は、システムの停止といった可能性が高いといえるでしょう。

情報セキュリティ被害の具体例

実際に情報セキュリティ・リスクが顕在化した例、すなわち情報セキュリティ被害の具体例には、どういったものがあるでしょうか。ここでは3つの具体的な被害をご紹介します。

標的型攻撃メールによる被害

従業員Aさんは届いたメールに記載されたURLにアクセスしたところ、マルウェアに感染。その後、AさんのPCだけでなく、ほかのPCもマルウェアに感染してしまいました。なお添付ファイルを開くことで感染させる手口や、URLを開くことで偽物のログインページを表示、ログイン情報を盗む手口などもあります。

データ持ち出しによる被害

USBメモリに顧客情報を保存して持ち出して、外出先で紛失。後日顧客情報が販売されていることを知り、盗難と発覚しました。

クラウドサービス停止による被害

業務を行おうとしたところ、会社で利用しているクラウドサービスが障害によって利用できませんでした。急ぎの業務が行えず、損害となってしまいました。

情報セキュリティ・リスク対策はどうやる？

それでは、どのような情報セキュリティ・リスク対策を行えばよいのでしょうか。ここでは先ほどご紹介した3つの被害に対する対策について、解説します。

標的型攻撃メールへの対策

少しでも怪しいと思われるメールは開かない、URLにアクセスしない、添付ファイルを開かないといったルールを徹底させます。

また、アンチウイルスソフトの利用徹底も大切ですが、標的型攻撃メールが検出できない場合もあるため、万全ではないことも周知が必要です。

こうした攻撃はソフトウェアの脆弱性を突くため、利用しているソフトウェアを常に最新のバージョンにしておくことも、有効な対策です。

データ持ち出しへの対策

重要なデータを持ち出さないルールを徹底させます。しかしそれでもルールを守らなかった結果、被害に遭うという報告も少なくありません。このため、データの持ち出しをできなくするシステムの導入を検討するのもよいでしょう。

クラウドサービス停止への対策

クラウドサービスは、安定して稼働できることや、セキュリティ対策がなされたサービスを選択しましょう。またクラウドサービスといえども、定期的なバックアップや、代替システムを用意するといった対策も有効です。

情報セキュリティ・リスクを減らすには教育が大切

情報セキュリティ・リスクを減らすためには、大きく2つの方法があります。ひとつはシステムでの対策、もうひとつはルールによる対策です。

一方で、どんなにシステムで対策しようとしても、最優的には人間の行動によって引き起こされるのが、情報セキュリティ・リスクだといっても過言ではありません。

ルールを定めても、面倒だからと守らない従業員もいます。また自分で使いやすいツールを無断で導入した結果、被害につながるといったシャドーITもあるのです。

このため、情報セキュリティ・リスクの低減は、まず従業員が変わることからはじめなくてはなりません。もっとも有効なのは、情報セキュリティ・リスクに関する研修です。

「情報セキュリティ教育」に関する詳しい情報はこちら

情報セキュリティ教育におすすめのツール

情報セキュリティ・リスク教育は、まず従業員に対して、「情報セキュリティ・リスクが人の行動に起因することが多い」ことを、認識してもらう必要があります。また、自社で利用しているシステムやサービスによって、対策が異なるため、研修は自社にあったコンテンツが望ましいといえます。そこでおすすめしたいのが、「playse. eラーニング」です。

「playse.eラーニング」は、3,000を超える豊富なレッスンが月額19,800円〜（税込）の低コストで見放題のeラーニングシステムです。すでに搭載されたコンテンツで、情報セキュリティ・リスクを学べることはもちろんですが、それだけではありません。「playse.eラーニング」なら、企業独自のコンテンツをアップロードし、研修に利用できるのです。このため、自社に合わせた、効果の高い情報セキュリティ・リスク研修が実現できます。

詳しいサービス資料のダウンロード、社員研修のオンライン化やeラーニングシステムの活用に関するご相談など、お気軽にお問い合わせください。