「カフェテレワークで情報漏えい」を防ぐ セキュリティ教育徹底マニュアル

カフェや喫茶店でPC作業している人は簡単にショルダーハックされる状況にあります。場所を問わないワークスタイルはウケが良いものですが、セキュリティのリスクは伝える必要があります。今回はセキュリティの教育や研修についてお話しします。

[久松 剛，エンジニアリングマネージメント]

情シス百物語

「IT百物語蒐集家」としてITかいわいについてnoteを更新する久松氏が、情シス部長を2社で担当した経験を基に、情シスに関する由無し事を言語化します。

　筆者は喫茶店を巡るのが好きで時間があると立ち寄るのですが、どの店舗に行ってもがPCで作業する方が複数見られます。

　大学のプレゼン資料を作っている人や、どう見ても営業資料を作っている人、経理系のExcelファイルをいじる人もいます。「Slack」の新規事業立ち上げブレストというチャンネルを公の場で開いている人を見たこともあります。カフェは実にショルダーハックのチャンスが多い場所です。

　更にはPCやタブレット、スマホを長時間にわたって放置する人も多く、物理盗難のリスクがあります。機密情報やバンキングアプリのID、パスワードなどを売買するブラックマーケットは数年前よりも発達しています。盗難に遭ったPCやスマホは解析され、IDとパスワードがその価値ごとに分類され、売買されるようになりました。以前は中古ハードウェアとしての価値しかありませんでしたが、現在は情報も含めて積み重ねるとそれなりの金額に到達します。

　自由を好む現代人に場所を問わないワークスタイルはウケが良いものですが、セキュリティのリスクはしっかりと伝える必要があります。今回はセキュリティの教育や研修についてお話しします。

建前ではない効果的な研修

　筆者は（自社従業員向けに）セキュリティ研修を担当してきましたが、現在は委託を受けて他の企業で研修をすることもあります。

　見たところ効果的な研修を実施している企業もあれば、監査などに備えて「研修実績フラグ」を立てるためだけに実施している企業も存在します。セキュリティインシデントを防ぐため、建前の研修ではなく効果的な研修を目指しましょう。

研修コンテンツの考え方

　企業によって実施すべきセキュリティ研修は異なります。情報セキュリティや監査項目、想定されるリスクなどに応じてカスタマイズする必要があります。場合によっては直近で起きた社内の事故を取り上げる必要もあります。

　PCの持ち出しが多かったり、会社支給のスマートフォン（スマホ）があったり、テレワークの従業員がいたりする場合は、会社端末の取り扱いとリスクについて取り上げる必要があります。端末に個人情報が多く存在する場合は、情報を取り扱う方針も一緒に伝える必要があるでしょう。情報漏えいという観点で、SNS運用の諸注意についても言及する必要があります。

　BYOD（Bring Your Own Device）の一環かもしれませんが、個人のスマホに会社アカウントを登録しているケースもあります。個人スマホへの情報登録についてうやむやになっている企業や、個人のスマホなので紛失した際は自分で解決してしまうという従業員を見かけます。多くのケースが飲み会後の紛失です。情報漏えいリスクに直結するため、題材に加えるべきです。

　ある外資のコンサルティング企業では、会社貸与のPCやスマホを紛失すると懲戒解雇されるとのことでした。研修に際して罰則規定を経営層と合意して設定することで、抑止力を期待できます。

　インシデント事例は、最も企業が起きて欲しくないことに結び付けて紹介するのが効果的です。上場前であれば「上場ができなくなる」、ブランディングイメージ醸成期間であれば「ブランド毀損（きそん）」、収益であれば「損害賠償」や「セキュリティ対策に伴う資金投下事例」を紹介するといったものです。役員を中心に当事者意識を持ってもらい、真摯（しんし）に聴いてもらうことを第一に考えましょう。

研修の内製化は避ける

　セキュリティ担当者や情シスによる講義です。課題は、資料作成工数などの他、近すぎる存在の人が講演をすることによる出席率の低下があります。

　筆者自身経験があるのですが、全社を対象にしたセキュリティ研修に、直近で大型インシデントを起こした人が出席しなかったり、寝ていたりすることがありました。内製化ではどうしても緊張感を醸成できません。

外部講師を依頼する時のポイント

　講師を従業員が知らない外部の人に依頼する方法です。この際、講義の場所も自社が入居するビルから離れた貸し会議室などに移すことで、費用は掛かりますが受講者の気が引き締まるので効果的です。特に重大インシデントが発生した際、これらに投資をすることで真摯な対応をアピールができます。

サイバー攻撃対応演習の事前実施

　自社で予想される事故を想定し、サイバー攻撃対応演習を実施することも効果的です。金額はまちまちですが、請け負っている企業は複数存在します。主に下記のようなフローを経て演習する傾向にあります。

• 責任者のインタビューを実施
• 目的や内容、参加者、実施日時といった演習計画の作成と合意
• 演習シナリオの決定
• 演習実施
• 演習報告書の作成、提出
• 改善案の提案

　主業務でメールを使う従業員の場合は標的型メール攻撃の演習をすることが考えられます。見知らぬメールが届いたときの開封率などを研修時に共有することで、自社が被害に遭う現実感のあるシナリオを伝えられます。

e-Learing方式実施のコツ

　録画した教材を視聴してもらう方法です。内製化する場合もあれば、外部講師に依頼する場合もあります。

　従業員は時間が空いているときに受講すればよいため、自由度は最も高くなります。一方で、受講者が内容を正しく理解しているかどうかは疑問です。視聴履歴だけでなく、理解度チェックテストをセットで実施する必要があるでしょう。

　理解度チェックテストがある企業は何社か見かけましたが、その中にはGoogleフォームを使って採点までしてから提出する企業もあります。回答後に答え合わせの機能があり、設問ページに戻れば何度でも再回答ができてしまいます。これでは理解しているとは言えません。

　過去に理解度チェックテストを実施した際、10年選手のプログラマーが100点中60点代を出したことがありました。こういった従業員は事業のリスクとなるため、補講も視野に入れて対策する必要があるでしょう。状況を踏まえると、理解度チェックテストについては追試用のテストを別に作ったり、並び替えのロジックを仕込んだりするのが適切です。

研修の実施によって情シスの対応コストを下げよう

　重大インシデントが発生すると、改善説明を実施するために対策し、対外的にもアピールをしなければなりません。対策の中には業務工数が増えるものがどうしても存在します。

　例えば2014年7月に個人情報漏えい事件が起きたベネッセホールディングスでは、データの持ち出しが私物のスマホで行われたためにボディースキャナーを導入しました。また、執務スペースには監視カメラも導入しました。

　情シス担当者としてはリスクがある点を把握した上で、差しあたり研修、教育という形で牽制しつつ、根本的にはMDMなどを導入して対策し、いざというときの検知と対応策にアプローチする必要があるでしょう。

著者プロフィール：久松 剛（エンジニアリングマネージメント　社長）

　エンジニアリングマネージメントの社長兼「流しのEM」。博士（政策・メディア）。慶應義塾大学で大学教員を目指した後、ワーキングプアを経て、ネットマーケティングで情シス部長を担当し上場を経験。その後レバレジーズで開発部長やレバテックの技術顧問を担当後、LIGでフィリピン・ベトナム開発拠点EMやPjM、エンジニア採用・組織改善コンサルなどを行う。

　2022年にエンジニアリングマネージメントを設立し、スタートアップやベンチャー、老舗製造業でITエンジニア採用や研修、評価給与制度作成、ブランディングといった組織改善コンサルの他、セミナーなども開催する。

Twitter : @makaibito