ビジョンハウス研修レポート「情報セキュリティに関するリスクリテラシー研修」

恒例としております弊社社内勉強会（ビジョンハウス研修）の内容をご紹介したいと思います。2018年第3回は「ＳＯＭＰＯリスケアマネジメント株式会社（以下ＳＯＭＰＯリスケア社）」にご依頼をしました。
テーマは「リスクマネジメント」。
ＳＯＭＰＯリスケア社で情報セキュリティにおけるリテラシー研修を実施されている井口さまにお越しいただきました。

１．テーマ設定の背景

外部環境変化のスピードが速まりつつある現代において、経営の脅威となる情報セキュリティにも変化が生じています。経営コンサルティングという仕事柄、お客様の機密情報を取り扱うことが多い私たちにとって、情報セキュリティはなくてはならない知識となります。
日々増している脅威に対して、企業として、企業として働くビジネスパーソンとして対策を考える機会とするため、今回の「情報セキュリティに関するリスクリテラシー研修」を実施することとなりました。

2.講師の方からの解説

今回の主題である情報セキュリティとは、情報資産価値を減らさないように情報を安全に管理し、適切に利用できるようにすることを指しています。企業として ①機密性、②安全性、③可用性の3つをバランスよく守っていくことが情報セキュリティであることを教えていただきました。

３．研修・スタート！

研修の冒頭では、情報セキュリティは企業の存続をも脅かす経営リスクとなっていることを改めて認識させていただきました。
特に近年、企業経営へ大きな影響を与えるふたつの事例がありました。

 

ひとつ目は、情報漏えいにより賠償金や風評被害が起こった事例です。大手旅行代理店の個人情報が漏えいしたニュースは記憶にも新しいと思います。
ふたつ目は、会社のシステムが停止（障害）したことによって、本来使用したいシステムが使えなくなり、企業としての活動が制限されてしまった事例です。

 

ふたつのリスクに共通することは、PCがウイルスに感染することで起きているということです。まさか、自分のPCが感染するなんて・・・“アンチウイルスソフトを入れているから大丈夫だろう”と考える方も多いと思います。私もその一人です。
ただ現在においては、アンチウイルスソフトでは検知できないウイルスも出てきています。“アンチウイルスソフトは完全ではない”ということを理解し、仮に検知ができなかった場合にどのように対応をするのかを考える良いきっかけとなりました。

 

現在、多くは特定の攻撃対象に狙いを定めてメール開封等を促し、ウイルスを送り込む「標的型攻撃」が主流になっています。みなさまのメールにも、件名が「見積書」、「請求書」と記載のある送り元不明のメールが届いたことはないでしょうか。
件名から関係ない、と思っている方もいれば、経理担当だから このメールはお客さんからなのかもしれない。と思われる方もいらっしゃるのではないでしょうか。
このように、攻撃する側は受信者の業務に関係するように思わせるテクニックを駆使して攻撃を仕掛けてきます。

 

なぜこのような攻撃をしてくるのか、みんなで攻撃者の視点になって考えてみました。
攻撃者の視点に立つと、企業から情報を入手したり、システム障害を起こすためには、ウイルスを送る入口を見つけなければいけません。その入口として、多くの情報を持っている管理者が最適であることを教えていただきました。管理者の業務に関係するかのようなメールがなぜ送られてくるのかということが改めて理解できました。
身近なセキュリティリスクを考えると、我々コンサルタントは外部で仕事をするケースも多く、様々な場面でリスクがありました。そのことを念頭におき、セキュリティリスクを回避するよう、褌を締めなおさなければいけない。と感じました。

 

情報セキュリティの動向、身近なリスクを考えた後は、グループでインシデント発生時の原因と留意点について協議しました。
ケースの内容は、パスワードの管理が適切にされていない、社内メールをお客さまに送付してしまった、等の身近に潜むケースをご準備いただきました。

 

私のグループは、社内メールをお客さまに送付してしまったケースを協議いたしました。以下が意見をまとめた内容です。

 

原因：メールの宛先を確認できていなかったこと
留意点：宛先をメール送信前に確認する。そのために安易にメールは全員返信をしない。
できればメールは新規メールから返信を作る。

 

一見、当たり前のような留意点になりますが、全員で協議することで、各自の意見や個別にリスク対策をしている事例を知ることができ、とても気づきの多いグループ協議でした。

 

研修の最後には、振り返りテストを実施していただきました。こうした確認テストを実施することで、学んだ記憶も忘れづらいこととなっていきます。

４．学びの感想

研修を受けて感じたことを共有させていただきます。
情報セキュリティを継続して守っていくには、企業としての取り組みだけではなく、企業で働く私たちが自ら、リスクを予測して回避していくことが必要です。
よく、当たり前のことを当たり前にする。という言葉がありますが、簡単そうに見えて実は難しい…ということを再認識することができました。
自分は大丈夫だろう！という油断に付け込んでくる攻撃者、日々巧妙となる手口、他人事ではなく、常に自分事に捉えて、情報セキュリティに向き合う必要があると感じました。

 

講師の井口さんには、我々の身近な事例をもとに説明や解説していただきました。中でも途中に実施していただいた「お」を1分間でたくさん書き続ける演習については、1分間も書いていると「あ」と書いてしまう場面もあり、ヒューマンエラーは起こりやすいのだということを改めて学ばせていただきました。

５．結び

今回の研修を受け、人間はミスを起こしてしまう生き物であることを認識した上で、いかにミスが起こらないようにするかを考える良い機会となったと思います。
参加したメンバー全員が情報セキュリティを他人事ではなく、自分事として捉えることができたと感じております。
今回の気づきをぜひ日ごろの業務と結び付け、活かしていくことができると考えています。

 

ＳＯＭＰＯリスケアマネジメント株式会社のみなさま、この度はありがとうございました。
今回の気づきを踏まえてHRIを情報セキュリティに関するトップランナーとすべく、尽力してまいりたいと思います。

 

なお、今回講演をしてくださったＳＯＭＰＯリスケアマネジメントさま、
およびリスクマネジメントに関するワークショップの詳細は以下のURLをご参考ください。

●株式会社ＳＯＭＰＯリスケアマネジメント
https://www.sompo-rc.co.jp/

●情報セキュリティに関する研修依頼はこちらから
http://www.sjnk-rm.co.jp/service/it_security/it03.html

 

記：シニアコンサルタント　櫻橋 淳

 

 

＜ビジョンハウス研修開催レポートはこちらから＞

2018年1月ビジョンハウス研修：「働き方改革～花びら図を活用したワークショップ」

2018年2月ビジョンハウス研修：「ネパール勉強会」～ビジョンツアーに向けて～

2018年4月ビジョンハウス研修：「AI×ビジネス」

2018年8月ビジョンハウス研修：「自分を知る～BPASSサーベイワークショップ」

2018年11月ビジョンハウス研修：「水」から考えるビジネスチャンスと企業リスク

2018年12月ビジョンハウス研修： 「描いて伝える可視化スキル　グラフィックレコーディング研修」