本日も本ブログにアクセスしていただき、ありがとうございます。
弁護士・税理士の鳥光でございます。
情報セキュリティに関するお話しも19回目となりました。
今回は、企業・組織に属している人々の情報セキュリティリテラシーの強化の方法について、その概要を説明します。
企業・組織内部でのセキュリティインシデントの発生は、故意によるものを除き、過失か、そもそも情報セキュリティに関する説明を理解できていないことが原因で起きると考えられます。
まず、情報セキュリティに関する説明が理解できているかどうかという点に焦点を合わせる必要があります。
例えば、マルウェア感染時の基本的かつ重要な初動対応である、「LANケーブルを抜く」という作業ひとつとっても、そもそも「LANケーブル」が具体的にどのようなものか、PCのどこに接続されているのか、どうやって抜くのか(一般的には抜け防止のためツメがあり、ツメを押しながら出ないと抜けない)がわからないということもあります。
(自分で書いておいてというところもありますが、「マルウェア」という言葉も、どちらかというとエンジニア側の用語であり、「コンピューターウィルス」を含む言葉であると考えられています)
企業・組織の事業所においては、コスト等の関係で今でもデスクトップPCを使用しているところも珍しくありませんが、近年では、私生活において使用するIT機器はスマホがメインになっていて、デスクトップPCになじみがない方も増えています。
メールに添付されたデータや、メディアを介して受け取ったデータはウィルス対策ソフトで検査することが大切ですが、使い方がよくわからないがために面倒で省いてしまうということも起き得ます。
(なお、「メディア」という言葉もやはりエンジニア寄りの言葉であり、「USBメモリ」「CD-R」「DVD」など、具体例を挙げないと通じない可能性もあります)
企業・組織に属している人々の情報セキュリティリテラシーを強化する方法としては、「内部教育」と「採用時の確認」が挙げられます。
次回以降、これらについて説明します。
