SI LABO

CONTACT US
E-mail
LINE
LINE
2025.6.24

【ICT通信 Vol.7】お金をかけずに始めるセキュリティ対策

お客様各位、
いつも弊社をご利用いただきありがとうございます。

今回のご案内は【社内でのセキュリティ対策】についてです。

セキュリティ対策というと、
ハッキングやウイルス感染のような「技術的な脅威」によるものを思い浮かべるかもしれません。
しかし、実は多くの情報漏えいは“人”が入り口となって起きています。

このブログでは、お金をかけずに今日から・誰でも・すぐに始められる、セキュリティ対策についてご紹介します。
一人ひとりの意識が、会社全体のセキュリティを守る第一歩です。



1.人的脅威(ソーシャルエンジニアリング)

セキュリティの問題で特に注意が必要なのが、
「人の心理や行動の隙」を狙うソーシャルエンジニアリングです。
これは、技術ではなく人間のミスや油断を利用して情報を盗み取る手法です。

【よくある例】

  •  ●SNSからの情報収集:社員が投稿した勤務先情報や写真から、企業内の構成や業務内容を探られる。
  •  ●なりすましの電話:「総務部の○○です。急ぎの確認で社員リストをいただけますか?」と信頼できそうな口調で情報を引き出す。
  •  ●オフィスへの不審な訪問者:業者や配送員のふりをしてオフィスに入り、書類やPCの画面を盗み見する。
  •  ●ゴミ箱からの情報収集:機密文書やパスワードの控えなどを、シュレッダーで処分されなかったものを漁る。

こうした攻撃は、特別な技術が不要で、むしろ人間の信頼や慣れを利用して行われます。
筆者の印象では、映画などでも、上記の方法で、思いのほかあっさり情報を抜き取っているよう感じます。

警戒心を持つこと、確認を怠らないことが最大の防御です。


【具体的な対策】


1. 身元・目的の確認を徹底

  •  ●電話や来訪者が「本当にその人なのか」「本当にその目的なのか」を必ず確認。
  •  ●たとえ社内の名前を名乗っても、メールアドレスや部署名、用件の一貫性をチェック。


2. 情報は安易に出さない

  •  ●組織図、社内連絡先、会議予定、Wi-Fiパスワードなどを口頭やメールで安易に教えない。
      「この情報は社外に出してもいいものか?」を判断基準に。
  •  ●外では会社名など個人を特定できる内容を話さない。


3. 離席時の対策

  •  ●PCはロック(ショートカット例:WindowsはWin+L、MacはControl+Command+Q)
  •  ●書類やIDカードを机に放置しない。


4. SNSの使い方に注意

  •  ●勤務先、職務内容、業務ツールなどの投稿は思わぬヒントを敵に与えることに。


5. 定期的な訓練

  •  ●フィッシングメールの模擬訓練、怪しい電話のロールプレイなどを定期的に実施。
      「経験」があるだけで、反応力は格段に上がります。

2.人的脆弱性

どれだけシステムを強化しても、それを扱う人がミスをすれば脆弱性が発生します。
特に、知識不足やセキュリティ意識の低さは、大きなリスクになります。
これを人的脆弱性と呼びます。

【よくある例】

  •  ●スクリーンを開いたまま離席する
  •  ●PCの電源を入れたまま帰宅する
  •  ●業務端末を自宅の家族と共用する
  •  ●「知ってる人だから」とログイン情報を貸す

思い当たるものはないでしょうか。
これらの行動は、悪意ある第三者からすれば格好の入り口です。


よく聞くのは「うち(自社)には重要な情報はない」という言葉です。
会社である以上、取引先との情報や会社の会計データは必ずあります。
その1つひとつは、同業者にとっては貴重な情報になります。

重要なのは、「自分の行動がセキュリティを左右する」という自覚を社員全員が持つことです。
定期的な教育や、注意喚起を通じて習慣化を図ることが大切です。


3.パスワード攻撃

最も基本的なセキュリティ対策のひとつがパスワード管理です。
しかし、その甘さを突いた攻撃も依然として多く、油断は禁物です。

【よくある攻撃手法】

  •  ●辞書攻撃:「123456」「password」「会社名2024」など、よくあるパスワードを機械的に試す。
  •  ●パスワードリスト攻撃:どこかのWebサイトから流出したID・パスワードを使って他のサービスにログインを試みる。
  •  ●総当たり攻撃(ブルートフォース):あらゆる文字列の組み合わせを試す(短いパスワードは特に危険)。

【対策】

  •  ●推測されにくい12文字以上のパスワードを使う
  •  ●複数のサービス、人で使い回さない
  •  ●定期的に変更する(特に流出の恐れがある場合)
  •  ●パスワード管理ツールの活用も検討


ソーシャルエンジニアリングと人的脆弱性の違い

ここまで読んでいただき、「ソーシャルエンジニアリング」と「人的脆弱性」の違いがわからなくなったかもしれません。

両者は、似たような場面で語られがちですが、意味も範囲も異なります。
以下に違いと、それぞれの対策も改めて整理します。

.おわりに

サイバー攻撃の多くは、システムの脆弱性ももちろん、
日々のちょっとした油断や無意識な行動をきっかけに発生しています。

ぜひ一度、社内での情報の取り扱いや、日常のセキュリティ意識について見直してみてください。

弊社では、そうした取り組みをサポートする教育支援や運用支援もしております。

人的対策とあわせて重要な、信頼できるセキュリティツールの導入のご相談も承っています。

今PCにインストールしているセキュリティソフトの更新が近づくけれど、
他に良いソフトがないか、などでもOKです。

ご不安な点やご相談がございましたら、お気軽にお問い合わせください。


次回もお楽しみに!

=========================================


SI Labo BY SASAKISELLM
TEL:0586-77-4338 FAX:0586-76-692
 Eメール:ss-sys@sasakisellm.co.jp
ホームページ:https://silabo.jp/

戻る ↗︎