大企業だけではない!中小企業こそ従業員にセキュリティ教育を徹底すべき理由

Text By:techhub

年々、増加傾向にある、サイバーセキュリティに対する問題は、政府機関や大企業だけではなく、中小企業にとっても大きな課題の一つとしてとらえるすべきものと、なりつつあります。その背景には、サイバー攻撃の高度化・巧妙化があげられます。

ECショッピングを運営する企業から利用者のクレジットカード情報が流出した事例もあったり、中小企業はセキュリティ対策の甘さを狙って、攻撃を仕掛けられた事例もあります。また、中小企業のシステムを踏み台にして、大企業のシステムへ攻撃を仕掛けるという動きもあるようです。

不正なプログラムが仕掛けられているメールを、自社の従業員がうっかり開封してしまった結果、思いもよらない被害を受ける可能性が常にあると自覚する必要があります。

セキュリティ事故の多くは人が起因している

以下にある表・図は、JNSA(日本ネットワークセキュリティ協会)による調査データですが、考えている以上にセキュリティインシデント(事故)が起きていると感じるかもしれません。

あくまで平均値ではありますが、一人あたりの被害総額も中小企業にとっては致命的な負担となりうる金額かと思います。

2017年 個人情報漏えいインシデント概要データ

漏えい人数 519万8,142人
インシデント件数 386件
想定損害賠償総額 1,914億2,742万円
一件あたりの漏えい人数 1万4,894人
一件あたり平均想定損害賠償額 5億4,850万円
一人あたり平均想定損害賠償額 2万3,601円


出典:JNSA・経営者のための情報セキュリティ対策―ISO31000から組織状況の確定の事例―

セキュリティインシデント発生の原因は、「誤操作、紛失・置忘れ、管理ミス」などの人為的要因が多くを占めています。

漏えい原因比率(件数)


出典:JNSA・経営者のための情報セキュリティ対策―ISO31000から組織状況の確定の事例―

セキュリティ対策を検討しようとすると、パソコンやシステム面のセキュリティを高めたくなるものですが、実際は人が原因で起こるケースが多くを占めています。

まずは、自社の従業員一人一人にセキュリティに対する意識を継続性を持たせることから、最も必要で効果的なセキュリティ対策といえます。

社内におけるセキュリティ教育の考え方

定期的に実施できる教育計画を立てる

社内のセキュリティ教育は、部署・部門または規模によっては全社で、定期的におこなうのが基本となります。セキュリティ教育の管理部門や担当者を決めて、教育内容や教育計画をさだめ、漏れの無いように運用していくことが必要になります。

意識を高めるには継続すること

多くの企業は、企業理念などと合わせて、セキュリティーポリシーをさだめているかと思います。しかし、それらを社内に浸透できていない企業も少なくありません。入社時はもちろんのこと、昇進や部署異動のあった時など、あつかう情報資産に変更が生じた際に、逐一、セキュリティ教育を実施することが重要です。