ESET/マルウェア情報局
新社会人必見、パソコンやスマホ利用時の情報セキュリティー対策
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「新社会人に覚えてもらいたい、セキュリティに役立つTips集」を再編集したものです。
2020年4月から働き方改革法が中小企業も対象となり、働き方は大きな転換期を迎えている。持続的な業務環境を整備するために、リモートワークを取り入れる企業も増加している。こうした変化に直面する今春の新入社員にとって、情報セキュリティーに対する理解は重要となる。本記事では、情報セキュリティーの観点から押さえておきたい事柄を「パソコン」、「スマートフォン(以下、スマホ)・タブレット」、「ソフトウェア・メール」、「パスワードの管理」、「周辺機器」、「SNS」、「ネットワーク」に分類し、それぞれ解説する。
新入社員にこそ大切なセキュリティー対策
2020年春に入社する新入社員は「令和初」の新卒入社、まさに節目のタイミングだ。学生から企業組織の一員となるということは、ライフスタイルはもちろん、果たすべき義務や責任も一変する。なかでも、パソコンなどIT機器の利用における情報セキュリティーは意外な盲点になりがちだ。
大手企業への不正アクセスや、社員のデータ持ち出しによる情報漏えいのニュースは後を絶たない。ずさんな管理や、対策を怠ったことにより、勤務先の機密情報や個人情報が漏えいした場合、その要因となった個人も責任を問われるケースがある。ただでさえ覚えることが多い新生活だが、だからこそこの機会にしっかりとセキュリティーへの理解を深めておきたい。
パソコンで気をつけるべきポイント
企業に入社すると、パソコンを貸与されることが多い。情報システム部門が必要な設定をすでに行なっている場合も多いが、自分でセットアップする場合は、用意された手順書やマニュアルをしっかりと確認すること。その際、インターネットに接続するが、利用するネットワークには気をつけたい。ハッカーなどの攻撃者は主にネットワークを経由して侵入してくる。セットアップ時は必ず、企業内の安全なネットワークを利用することを徹底してほしい。
新しいパソコンは安全だとみなしがちだが、必ずしもそうとはいえない。端末によってはOSのバージョンが古く、脆弱性(情報セキュリティ上の欠陥や弱点)が修正されていない場合もある。最近のWindowsやMacでは、画面の手順に従えば基本的なセットアップは完了する。その後、WindowsならばWindows Updateでアップデート版の有無を確認するとよい。続けて、各企業で指定、配布されるセキュリティーソフトをインストールしておこう。
そして、強く認識してほしいのが、パソコンはインターネットに接続したときから、外部からの攻撃によるセキュリティーリスクを抱えているということ。アップデートによって脆弱性に対処し、セキュリティーソフトをインストールするのはそうしたリスクに備えるためだ。詳しくは下記の記事も参考にしてほしい。
また、業務中に利用端末がマルウェアに感染する可能性はゼロではない。万一そういった事態が起こった際にも慌てず対処できるよう、マルウェアの駆除方法も理解しておきたい。
スマホ・タブレットで気をつけるべきポイント
最近はパソコンと合わせて、業務用のスマホやタブレットを貸与する企業も少なくない。端末を貸与されたら、最初にやるべきことはパソコン同様に、脆弱性対策としてOSやアプリを最新版にアップデートすること。一般的に、iPhoneと比較してもAndroidの端末は攻撃者に狙われやすい傾向にあるとされる。そのため、セキュリティーソフトは極力インストールするようにしたいところだ。
企業から貸与されたスマホやタブレットでは、従業員が勝手にアプリをインストールすることを制限していることも少なくない。しかし、アプリが自由にインストールできる場合でも、公式ストア(Google PlayとApp Store)や信頼できるメーカーが配布しているもののみに限定するようにしておきたい。また、インストールしたアプリはさまざまな権限を要求するが、許可すべき権限は最低限にとどめておくべきだろう。
スマホやタブレットで業務を行なうことも増えてきているが、そうした対応には多くのセキュリティーリスクがつきまとう。中でもとりわけ気をつけたいのがマルウェアの感染だろう。巷ではiPhoneはマルウェアに感染しづらいとされるが、もちろん例外もあるので注意したい。
ノートパソコンやスマホなどのモバイル端末は、物理的な紛失や盗難のリスクも忘れてはならない。貸与された端末は鍵つきのキャビネットに保管するルールとなっている企業も少なくないようだが、業務中に自分のデスクに放置しない、あるいは最低でも離席の際にパスワードロックをかけたスクリーンセーバーが起動するように設定する、といった心がけも大切だ。万が一、紛失してしまった場合に備え、すべき対策をまとめた記事も参考になるはずだ。
テクノロジーの進化は早く、日進月歩とも言われる。変わりゆく状況を見極め、セキュリティー対策も常に最新の情報をキャッチアップしていくことが求められる。基本的な情報セキュリティーを含め、以下の記事でスマホのセキュリティー対策を学んでほしい。
メール・ソフトウェアで気をつけるべきポイント
業務でチャットツールを利用する企業も増えているが、企業間のやり取りはメールが主流という企業はまだ多い。メールはビジネスにおいて主要なコミュニケーションツールであるがゆえに、誤送信などのミスも多発している。一つのミスが情報漏えいにつながりやすいのもメールの特徴。メールのセキュリティー対策は基本ゆえに軽視されがちだが、しっかりと押さえておきたいところだ。
また、最近は企業を狙ったビジネスメール詐欺(BEC)も増加しており、特定の対象を標的にした標的型メールをサプライチェーン攻撃の中に組み込むケースも増えている。メールをめぐる環境はかつてないほどのリスクにさらされていると言っていい。仮にこうした被害に遭遇した場合、どのようなインシデントにつながるかはしっかりと頭に入れておきたい。
業務ではパソコン、スマホを問わず多くのソフトウェアを利用する。そのため、攻撃者も侵入口としてソフトウェアの脆弱性に狙いを定めている。ソフトウェアはその特性上、常に脆弱性を抱えているものと言って過言ではない。見つかった脆弱性は随時修正されるため、ソフトウェア、ウェブブラウザー、プラグインなどは常に最新版へアップデートするようにしたい。
最近はフリーソフトやプラグインなどにも悪質なものが紛れ込んでいる。これらソフトウェアのインストール時に、アドウェアと呼ばれる悪意あるソフトウェアがウェブブラウザーに埋め込まれてしまうという被害も報告されている。信頼性に乏しいフリーソフトは安易にインストールしないことだ。
クラウドストレージやチャットツールなどのウェブアプリは利便性の高さから人気だ。業務利用も増えているが、所属する企業が許可していないものを利用することで情報漏えいの可能性も否めない。このように、企業が許可しないITツールやソフトウェアを無断で使用する行為は「シャドーIT」と呼ばれ、問題視されている。脆弱性を悪用され、情報漏えいが起きた事例は数えきれない。企業が許可、管理しているツールのみを利用し、どうしても他のツールが業務上必要な場合は、まずは上司や情報システム部門に相談するようにしたい。
パスワードの管理で気をつけるべきポイント
業務で利用するさまざまな端末や、そこで動作するアプリなど、ほぼすべてにおいてパスワードの設定を求められる。個人所有の端末でもパスワードを管理していると思うが、業務で利用する際はセキュリティーに対してより高い意識を持つようにしたい。パスワード管理は新社会人でなくともずさんに対応している場合があるので、正しい設定方法を学んでおこう。
まず、誕生日など容易に推測できるようなものにしないこと、他の機器やサービスなどで使い回しをしないこと、組織で定められているルールに従い定期的に変更すること、などは基本だ。パスワードはより複雑にすることで強度が高まる。英語の大文字、小文字、数字、記号混合で15桁以上を推奨する。ログインIDやパスワードを忘れたときのために、パソコンや机に貼っておくなど論外だ。たとえ社内であっても、誰にも見られないよう厳重に管理するようにしよう。
また、最近のスマホ・タブレットには指紋認証や顔認証など生体認証が利用できる端末も増えている。生体認証は一般的にセキュリティー的に強固とされるため、積極的に活用するようにしたい。ただし、一部のスマホで、プリントアウトした顔写真でも認証が突破できてしまう事態も発生している。一般的には強固とされる認証があるからと安心せず、常に意識して管理することを徹底してほしい。
周辺機器で気をつけるべきポイント
業務ではパソコンやスマホ・タブレットだけでなく、さまざまな周辺機器を利用することになる。これらの機器を利用する際にも注意が必要だ。USBメモリーに代表される、持ち運び可能な記録媒体は紛失やマルウェア感染のリスクにさらされている。最近はポータブルのHDDやSSDをカバンに入れている人もいるが、同様のリスクを認識しよう。
個人用の記録媒体に業務用データを保存し、許可なく自宅のパソコンで業務を行なうことも、先述のシャドーITという行為の一つとなる。周辺機器についても、安易な利用は避け、企業で規定されたルールに従うように心がけてほしい。場合によっては違法行為になるということも覚えておきたい。
SNSの利用で気をつけるべきポイント
SNSを起点とした情報漏えいは近年になって急増している。日常生活で当たり前のように利用しているがゆえに、さほど危険性を認識できていないかもしれない。一つ例を挙げると、所属する企業のオフィスで撮影し投稿したSNSの写真が元で情報が漏えいしたという話もある。業務上知り得た知識やノウハウ、企業が保有する情報などはすべて「機密情報」であるという認識を持つようにしたい。
iPhoneの開発者が未発表のデバイスを家族に渡したことで、その情報がSNSで拡散してしまったことは記憶に新しい。このケースは「機密情報」に対する認識の甘さが原因といえるだろう。業務に関する情報をSNSへ投稿しないことはもちろんだが、SNSの不正アクセスやなりすましへの対策となる二段階認証やログイン通知などの設定も忘れずにしておこう。
ネットワークで気をつけるべきポイント
今やインターネットなしでは日常生活が成り立たないという人も少なくないはずだ。しかし、攻撃者はネットワークから侵入してくるということを、改めて強調しておきたい。そのため、多くの企業ではネットワークの入り口に攻撃者の侵入を防ぐための対策を施している。そうした対策が整備されていない自宅のネットワークに業務用の端末を接続することは、それだけで危険な行為だといえる。
また、外出時などに個人利用の端末を公衆Wi-Fiに接続している人もいるだろう。しかし、公衆Wi-Fiはセキュリティー的なリスクを抱えていることも多い。公衆Wi-Fiには通信の暗号化の方式に問題があるケースや、正規のスポットになりすますケースもある。安全でない公衆Wi-Fiに接続すると、通信内容を盗み見されてしまう可能性がある。公衆Wi-Fiなどに接続する前には、基礎知識を頭に入れておこう。
その他で気をつけるべきポイント
ここまでITに関連するものを解説してきたが、セキュリティー対策はそれ以外にもある。例えば、個人情報・機密情報が記載された紙の取り扱いにも注意したい。これらの情報を取扱う企業では多くの場合、社内のルールがあるため、そのルールに則って行動することが大切だ。紛失するリスク、盗み見されるリスクがある行動は厳重に慎みたい。
また、オフィス外で勤務するモバイルワークなどの機会も増えているが、その際にも紛失・盗み見されるリスクには注意が必要だ。最近は「ショルダーハッキング」と呼ばれるような、後ろからパスワードなど重要な情報を盗み見されるようなことも発生している。また、トイレなどで離席した際に、端末を盗まれるようなことも起こっている。自らが重要な情報を取扱っているという前提に立ち、常に危険性を認識しながら行動することを徹底してほしい。
勤務先のセキュリティポリシーを確認して適切な対策を
近年、企業のセキュリティ意識が向上し、情報セキュリティーに関するガイドラインやポリシーの整備が進んでいる。所属する企業がどのようなポリシーを定めているのか、必ず確認しておこう。合わせてセキュリティーに関連する業務ルールがある場合は、そちらもしっかりと確認しておきたい。
しかし、整備のレベルは企業によって異なるのが実状だ。ルールの記載に抜け漏れがあるケースもあるだろう。長く勤務している人にとっては暗黙の了解となってしまい、ルールとしては明文化されていないということも考えられる。企業の慣習として定着しているかもしれないが、それが本当に正しく安全なものか、時代に即したものかという観点を持つことは大切だ。これまでの慣習に染まっていない新入社員だからこそ気づける点もあるはずだ。そのような気づきがあった場合、まずは上司に相談してみよう。上司と相談しながら改善を促すことも、セキュリティー対策の一つになる。
下記のインタビュー記事では、研修コンサルタントが企業のセキュリティー課題について詳しく解説している。情報セキュリティがなぜ重要視されるか、理解の一助にもなるだろう。
加えて、以下の記事では企業の情報漏えい対策についてのポイントをわかりやすくまとめている。新入社員といえども、入社したその日から企業の一員であることに変わりはない。そもそもなぜ、情報漏えい対策が必要なのか、情報とは何なのかといった基本的なことの理解にもつながるはずだ。
いかがだっただろうか。注意すべき項目が多すぎて戸惑っている人もいるかもしれないが、日々の行動で習慣化すれば、日常業務の中で多少の配慮が増える程度に過ぎない。適切に行動していれば、仮にインシデントが発生した際にも、せっかく積み上げた実績と信頼を一度に失ってしまうことはないはずだ。これからの社会人生活をより実りあるものにするためにも、情報セキュリティーに対する注意、そして行動を怠らないようにしてほしい。