｢SNSに社員証アップ｣｢認証管理も自己流｣･･･新入社員の｢セキュリティミス｣を防ぐために実践すべき《7つの習慣》

では今、足元ではどのようなセキュリティリスクがあるのか。

脅威の情勢は大きく変化している。Google Cloudブログによれば、ソフトウェアの脆弱性が公開されてから悪用されるまでの平均時間は、5年前の32日からわずか5日にまで短縮された。フィッシングメールはAIによって日本語の不自然さが消え、「怪しいメール」を見分ける従来の方法は利きにくくなっている。

2024年2月には、エンジニアリング大手企業であるアラップの香港オフィスで、ディープフェイクで幹部に扮した犯罪者がビデオ会議を通じて2500万ドルを詐取。「本人を確認する」という行動すら無効化されつつある。一方、古典的なリスクもAIで深刻化しており、ChatGPTの認証情報30万件超がダークウェブに流通したという報告もある。守るべきアカウントの価値が、AI時代に入って桁違いに上がっているのだ。

このように脅威は変化し、毎年のようにサイバーセキュリティ被害に遭う企業は増える一方だが、実は、侵害の70%近くは人的要因に起因している。この構造は変わっていない。 多くの脅威が依然として、技術的脆弱性と同時に人の心の隙という脆弱性を狙うものだということを忘れてはいけない。

研修担当者が陥りやすい｢罠｣とは？

では、こうした前提を踏まえ、どのような習慣を社員に身に付けさせればよいのだろうか。

研修担当者あるいは情報セキュリティの習慣を設計する者が、陥りやすい罠がある。例えば、IPAの「情報セキュリティ10大脅威」などを参考に、最新の脅威にそれぞれ対応した行動リストを作り、いちいちルールを増やすことだ。

攻撃された話に代表される、いわゆるホラーストーリーは「なぜセキュリティを確保できる実践をすべきか」に納得する目的においては、有益だ。しかし、社員はそのような脅威を毎日気にしていられるはずもないのだから、やみくもに攻撃シーンをベースに対策ルールを増やし、詰め込んでいくことは得策ではない。

具体的な攻撃手法ではなく、日常の行動の中で判断と実践が自然にできることを軸にすることだ。社員が普段使っているツールと、その利用方法に着目して学ぶと身に付きやすいだろう。

AI時代のリスクを踏まえ、セキュリティ対策として有効な習慣を紹介しよう。