｢SNSに社員証アップ｣｢認証管理も自己流｣･･･新入社員の｢セキュリティミス｣を防ぐために実践すべき《7つの習慣》

まずは、「誘導・催促を警戒」を習慣化したい。24年後半から急増した「ClickFix」という手口がある。偽のエラー画面や「今すぐ修正が必要です」というポップアップを表示し、ユーザー自身にコマンドをコピー＆実行させるものだ。

25年には初期侵入手法の47%を占めるまでになった（Microsoft Digital Defense Report 2025）。この手口が巧妙なのは、「急いで直さなければ」という焦りを利用する点だ。権威を感じさせる画面デザインや緊急を装うメッセージで人を惑わせる。

対策はシンプルだ。「業務中に画面からコマンドの実行を求められることは、正規の手順ではあり得ない」と知っておくこと。これは電話口でサポートを装い、コマンド実行を誘導するかつてのパソコンサポート詐欺と構造が同じだ。

手口を知っていれば、どれだけ本物らしいエラー画面が表示されても、コマンド実行を求めてきた時点で画面を閉じて情報セキュリティ担当に連絡するという行動が自然にとれる。

「情報の行き先を意識」することも大切だ。Microsoftの「2025 Work Trend Index」によれば、日本のナレッジワーカーの78%が無許可のAIツールを職場で利用しており、アメリカの63%を15ポイント上回っている。こうした「シャドーAI」は、情報管理の新たな盲点になっている。

しかし「会社で承認されていない生成AIに、社内の機密情報を入れてはいけない」という実践は、「SNSに仕事の情報を投稿してはいけない」と本質的に同じ原則だ。具体的なユースケースとあわせて繰り返し伝え、情報の行き先が機密情報を扱えるものかどうか、その先にある情報の受け手にどんな影響があるかを意識する習慣を身に付けさせることが肝心だ。

重要度を増す｢認証管理｣

AI時代に入った今、「パスワード管理と多要素認証」を徹底し、認証を能動的に管理する習慣の重要度は増した。Claude、Gemini、ChatGPTをはじめとするAIサービスのアカウントには、会話の全履歴、連携した業務データ、ほかのシステムへのトークンまで紐付いている。アクセス権を奪われることは、単なるアカウント乗っ取りではなく、業務上の機密情報への経路を開くことを意味する。

MFAを設定する、不審な認証通知には立ち止まるという原則は変わっていない。しかし守る対象の価値と同時に、攻撃サイドのスピードと精度も高まっている。対抗策は、効果的な道具、すなわちパスワードアプリでの生成・管理だ。これだけで使い回しはほぼなくせるので、利用法を研修コンテンツに組み込んでしまうといいだろう。コスパとタイパが最も高い一手なので、新入社員も受け入れやすいはずだ。