今回も本ブログをご覧いただき、ありがとうございます。
弁護士・税理士の鳥光でございます。
情報セキュリティに関するお話の18回目です。
今回は、企業・組織に属している人々の情報セキュリティリテラシーが低いと起き得ることについて、具体的に説明します。
まず、典型的なセキュリティインシデントではありますが、メールに添付された不正なファイル(マルウェア)を開いてしまうことや、メールに記載された不正なリンク先にアクセスしてしまうというものです。
古典的なものではありますが、今でも時折発生していることからすると、理論上の対策は簡単ではあるものの、現実に完全な対応をすることはとても難しいセキュリティインシデントのひとつであると考えられます。
次に、仮にマルウェアに感染した場合の対応に遅れが生じる可能性があります。
マルウェア感染が疑われたら、すぐに有線LANを物理的に遮断したり、しかるべき連絡先等に報告をすることができなかったり、そもそもマルウェアに感染していることに気付くことができないということもあります。
その結果、マルウェア感染の範囲が拡大してしまったり、より多くのファイルサーバ等のデータが破壊または暗号化されてしまうという事態が生じてしまいます。
そのほか、かつてメーリングリストの設定を誤ったことで、センシティブな情報が公開されてしまい、深刻なセキュリティインシデントが発生したということもあります。
近年ではリモートワークの普及もあり、複数の人がクラウドシステム上に保存されたデータにアクセスして業務を進めることも増えました。
このとき、クラウドシステム上に保存されたデータの共有設定を誤ると、本来データへアクセスさせることを想定していない人にデータが渡ってしまう可能性もあるので注意が必要です。
