ESET/マルウェア情報局
PCを使えない世代にどんなセキュリティー対策教育をするべきか?
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「パソコンを使えない!?スマホ世代へのセキュリティ対策の教育はどうあるべき?」を再編集したものです。
最近の新入社員の傾向
日本におけるスマホ普及のきっかけとなった、iPhone 3Gが発売されたのが2008年7月。それから11年近くが経過し、今20代の若者たちにとって、幼少の頃からスマホやタブレットは身近な存在で、デジタルネイティブ世代と呼ばれているほど。この世代の若者たちは、日常生活はもちろんのこと、大学で課されるレポートや卒論までも、スマホひとつで済ましてしまうことも少なくないという。以前は、就職活動ではパソコンが必須と言われていたが、最近の就活サイトはすべてスマホに対応しており、エントリーシートの提出もスマホ経由でおこなう学生もいるほど。そのため、今の新入社員の中には、パソコンを使った経験がほとんどないという人が出てきているのだ。
しかし、ほとんどの企業では、スマホではなく、パソコンで業務をおこなうことになる。スマホやタブレットだけで業務を遂行可能な職種も一部あるだろうが、企画書を作成し、プレゼンテーションをおこなうような職種、エクセルで経費やデータなどの管理をする業務など、パソコン必須の業務は数多くある。新入社員の教育に関わる担当者には、こうした学校を卒業したての新社会人に対し、スマホとパソコンの違い、そしてその使い方まで範囲を広げて教えていくことが求められている。
スマホとパソコンの違い
そもそもスマホとパソコンの違いとはなんだろうか?俯瞰して考えると、両者に大きな違いはない。スマホもパソコンも、CPUやメモリ、ストレージなどから構成されるコンピューターの一種であり、違うのは形状やサイズ、スペック、アーキテクチャくらいである。最近は、スマホが大型化する傾向にあり、コンパクトな2in1 PCとの外見的な差も、縮まってきている。
しかし、ビジネスにおける生産性や汎用性という視点になると話は別だ。スマホは、常に肌身離さず持ち歩くことが前提であり、サイズや重量といった携帯性が重視される。そのため、液晶サイズや入力デバイスといった操作性を左右するスペックが犠牲にならざるをえない。それに対し、パソコン、特にデスクトップパソコンは、さまざまな業務処理の効率を向上させることが前提であり、操作性や情報の視認性、一覧性に優れている。また、デュアルディスプレイなど、効率化を促進する活用方法についても、パソコンのほうが充実している。
一般的に、スマホやタブレットは、動画を視聴したり、電子書籍を読んだり、そういったコンテンツを消費するデバイスとしては優れているが、コンテンツをゼロから作り出す(創造する)デバイスとしては、圧倒的にパソコンに軍配が上がる。スマホやタブレットは「コンテンツ・コンサンプション・デバイス」であるのに対し、パソコンは「コンテンツ・クリエイション・デバイス」なのだ。
なぜ「スマホで業務」ではダメなのか?
もちろん、スマホで業務を遂行できないというわけではない。前述したように、スマホには携帯性が優れているという利点があるため、宅配ドライバーの伝票管理など、パソコンよりもスマホや専用端末のほうが向いている業務もある。しかし、一般的なオフィスワークにおいては、やはりパソコンが有利だといえる。その理由をいくつか挙げていこう。
・画面が小さいため確認作業がしづらい
スマホはあくまで持ち運ぶことを前提とした、パーソナルなデバイスであり、どうしても画面サイズは小さくなる。最近は、狭額縁化も進み、以前より画面サイズは大きくなってはいるものの、6インチ前後が主流。15インチ前後が主流のノートパソコンや、21~23インチが主流のデスクトップパソコンと比べて、遙かに画面が小さく、一覧性に劣る。例えば、大きなエクセルシートの見落としのチェック、デザインの細部をくまなくチェック、といった作業をおこなう場合、スマホでは効率も悪く、データ全体を俯瞰してチェックできないため、確認漏れなども生じがちだ。
・マルチタスクに向かない
パソコンとスマホの使い方の違いとして大きいのが、複数のアプリケーションを同時に立ち上げ、データをアプリケーション間で切り貼りしながら業務をおこなう、マルチタスクが可能かどうかという点だ。先述の通り最近のスマホは、スペック的にはパソコンと比べてもそれほど見劣りしない。しかし、やはり物理的な画面サイズの小ささ、OSによる制約もあり、パソコンのように複数のウィンドウを同時に開いて作業をおこなうことはできない。ひとつのアプリケーションだけで完結する作業ならともかく、複数のアプリケーションを併用する業務をスマホでおこなうこと極めては非効率で、生産性も低下するため、オフィス業務としての利用は推奨されない。
・業務アプリケーションが対応していない
オフィスでのデスクワーク業務では、さまざまなアプリケーションが利用される。こうした業務アプリケーションは、パソコンでの利用が前提となっており、そもそもスマホでは全く動作しないものも多い。動作する場合でも、ユーザーインターフェースがパソコンを前提とした設計となっているため、操作性が大きく低下することもある。フォトレタッチソフトなど、一部の業務アプリケーションでは、スマホやタブレットでの動作に最適化されたものも登場しており、モバイル対応の業務アプリケーションも増加するものと思われる。しかし、作業効率という観点からは、今後もパソコン優位の状況は変わらないだろう。
スマホ世代に伝えるべき「セキュリティの基本」
セキュリティ対策が重要であるのは、パソコンもスマホも変わらない。しかし、業務の現場で利用されるパソコンの場合、業務関係の情報が蓄積されており、セキュリティインシデント発生時のリスクを抱えていることになる。そこで、スマホ世代にパソコンでの業務をしていくにあたり伝えるべき、「セキュリティの基本」を以下に挙げていこう。
・高まり続ける「データ」の重要性
まず、パソコンやスマホといったハードウェア本体よりも、「データ」が重要だということをしっかりと認識させる必要がある。データの価値は年々上がり続けており、ビッグデータの時代とよばれる現代、データを制したものがビジネスを勝ち抜くといっても過言ではない。一方で、機密性の高い情報や顧客データなどが流出してしまうと、企業にとって大きなダメージとなる。業務で利用されるパソコンは多くの重要なデータを保管していること、重要なデータの保管場所へアクセスできること、という点からもターゲットとして狙われやすいということの理解、納得を促したい。
・パソコンならではのセキュリティ対策
パソコンは、業務に使われるようになってから20年以上が経過し、業務利用における多くの先例が積み上がっている。そうした先人の教えは、非常に参考になる。以下のJPCERTの情報セキュリティマニュアルは、企業内で起きがちなセキュリティインシデントそれぞれについての対処法を解説したもので、教育担当者、システム管理者目線で書かれている。是非、担当者はチェックしてほしい。
https://www.jpcert.or.jp/magazine/security/newcomer-rev3_20140326.pdf
・自身のスマホを利用する際にも、セキュリティやコンプライアンスの意識を持つべき
個人利用のスマホをプライベートで使用する場合でも、自分が企業という組織の一員であり、その組織としてのルールがあることを意識させる必要がある。自らの行動によって自分が属している企業に損害を与える可能性はないかということを常に念頭において、発言をおこなうことを理解してもらわねばならない。
発言内容が、機密情報の漏えいにつながらないかという観点はもちろん、企業が定めたソーシャルメディアポリシーやコンプライアンスを遵守することも大切だ。社会人となったからには、常に自分の行動に責任を持つ必要があるのだ。新入社員に対する情報セキュリティやコンプライアンスに関する研修については、以下の記事を参考にしてほしい。
研修コンサルタントに聞く新入社員向け情報セキュリティ研修のポイントとは?
https://eset-info.canon-its.jp/malware_info/trend/detail/190423.html
・一番注意すべきは自分自身であり、社会人としての自覚が重要
外部からの悪意を持った攻撃に対処することはもちろん重要だが、自分自身の「うっかり」ミスで、会社に損害を与えてしまうほうが、可能性としては高いことに留意したい。自らのミスで何かやらかしてしまった場合、自身へのペナルティは決して小さくないことを認識すべきだ。学生時代は、大目にみてもらえたミスでも、社会人ではその責任をとらざるをえない場面も出てくる。
特に、ミスの「ごまかし」は大きな致命傷になりかねない。後からミスが発覚した場合、「ごめんなさい」では済まず、懲戒や免職、最悪の場合は多額の損害賠償を請求される可能性すらある。もし何かを引き起こしてしまった場合や、その疑いがあるという場合は、何よりも先に「報告・連絡・相談」をおこなうことが求められる。早めに報告をすることでインシデントへの対処が早まり、被害を最小限に防ぐ可能性もある。その徹底を新入社員には促してほしい。
参考資料
以下、新入社員研修に役立つセキュリティ対策資料を二つ挙げる。これらをそのまま利用してもよいし、参考にして新たに資料を作るのもよいだろう。大いに活用してほしい。
初めての情報セキュリティ対策のしおり(IPA)
https://www.ipa.go.jp/security/antivirus/documents/09_hazimete.pdf
発行:2012年1月
情報セキュリティ読本 教育用プレゼン資料(IPA)
https://www.ipa.go.jp/security/publications/dokuhon/ppt.html
発行:2014年11月
この記事の編集者は以下の記事もオススメしています
-
デジタル
蔓延するビジネスメールへの詐欺に騙されるな! -
デジタル
ネットストーカーはあなたがインターネットにアップした情報を狙っている -
デジタル
セキュリティーアプリを騙った偽アプリの脅威 -
デジタル
SMSベースの2段階認証を迂回するマルウェアアプリを発見 -
デジタル
新たな「WannaCryptor」になるかもしれない脆弱性「BlueKeep」とは? -
デジタル
macOSを狙ったマルウェアがアップデートで機能追加 -
デジタル
変わりゆくセキュリティ標準。日本HPが追い求めるハードウェアレイヤーにおけるセキュリティ対策とは?【前編】 -
デジタル
Windowsのゼロデイ脆弱性を修正したパッチリリース -
デジタル
巧妙化する標的型メールの見分け方と対応方法 -
デジタル
スパイグループ「Turla」のPowerShell使用方法を分析 -
デジタル
高いセキュリティを誇るウォレットアプリ「Kyash」 -
デジタル
日本語環境を狙ったばらまき型メールを観測 6月のセキュリティー情報まとめ -
デジタル
社内データの持ち出しで逮捕されないために、テレワーク時代の情報漏えいリスク防止とは -
デジタル
スマホのPINロックコードを誕生日にする危険性 -
デジタル
新しくパソコンを買ったら、まずやっておきたいこと -
デジタル
いじめの温床になりやすい「学校裏サイト」の変遷とその対処とは