2025/12/13
これだけは社員に伝えておきたいリスク対策
本田 茂樹
現在の三井住友海上火災保険株式会社に入社、その後、出向先であるMS&ADインターリスク総研株式会社での勤務を経て、現職。企業や組織を対象として、リスクマネジメントおよび危機管理に関するコンサルティング、執筆活動を続ける一方で、全国での講演活動も行っている。これまで、信州大学特任教授として教鞭をとるとともに、日本経済団体連合会・社会基盤強化委員会企画部会委員を務めてきた。
サイバーリスクについては連載第一回で考えましたが、企業のセキュリティ対策にもかかわらず、外部からのサイバー攻撃を受けて機密情報が漏れてしまう、従業員が誤って事業に不可欠な情報を漏らしてしまうといった事例が続いています。
9月から10月にかけて、複数の著名企業が大規模ランサムウェア(※1)攻撃の標的になったことで、被害の影響が拡大しており、対策の難しさをあらためて認識させられました。今月は、再び、サイバーリスクについて考えます。
(※1)パソコン等に保存されているデータを暗号化し使用できない状態にした上で、そのデータを復号する対価(金銭や暗号資産)を要求する不正ブログラム
サイバーリスクは、外部からのサイバー攻撃を受けて事業が止まってしまう、機密情報が漏れてしまう、また従業員が誤って事業に不可欠な情報を漏らしてしまうなどにより、企業が被る損害のことです。
企業は、その活動に必要なほぼすべての情報を自社のサーバーに格納していることから、そこにサイバー攻撃を受ければ、データの漏えい・改ざんによって、業務そのものが継続できず、影響は甚大なものとなります。
もちろん、近年はサイバーリスクをカバーする保険も出ていますが、まずは被害にあわないために的確な対策を講じることが必要です。企業としては、VPN機器類等の脆弱性対策など、社内のICT専門部門と連携して取り組むことが求められますが、従業員一人一人の行動も極めて重要です。
セキュリティパッチは、ソフトウェアやOSに見つかった脆弱性、つまりセキュリティが甘いところを修正するために配布されるプログラムです。ソフトウェアやOSを古いままにしていると、脆弱性も放置され、セキュリティ上の問題点が解決されないことになります。
そこで、ベンダーが定期的に配布するプログラムを適用することによって、最新のサイバー攻撃への対策を講じることができ、自社のシステムを守ることが可能となります。
リスク担当責任者としては、まず各端末のセキュリティパッチの適用漏れをなくすことが必須ですが、従業員の中には、セキュリティパッチの適用を促されても「面倒である」ということで、そのままとなっているケースも散見されます。
そこで、リスク担当責任者は、自社のセキュリティパッチの適用状況を把握したうえで、パッチの適用までの手順を従業員任せにせず確認することが重要です。
実際、ランサムウェアの被害にあった企業・組織の68%が「未適用のセキュリティパッチがあった」と回答しており(「令和5年度上半期におけるサイバー空間をめぐる脅威の情勢等について:警察庁」)、セキュリティパッチの適用が非常に重要であることが理解できます。
それぞれの従業員が、企業の定めたID・パスワードのルールを守ることが重要です。特に、社内で使うパスワードを他のウェブサービスで使い回したことで、企業サイトに不正にログインされる被害なども増えています。
また、パスワードそのものが初期設定のままになっている、あるいはよく使われるものになっている場合もありますから、従業員任せにせず、認証情報を適切に管理しましょう。
企業が情報セキュリティの守りを固めていても、従業員の意識の低さから情報漏えいが起こることがあり得ます。
従業員の関心を引く内容のメールを使って添付ファイルを開かせる、またリンク先のウェブサイトにアクセスさせるように仕向けてランサムウェアなどのマルウェア(パソコンやその利用者に被害を与えることを目的とした悪意あるソフトウェア)に感染させる手口が確認されています。
「怪しい添付ファイルは開かない」そして「怪しいリンクは開かない」は基本中の基本ですが、日々の忙しい業務の中で、思わず、ファイルやリンクをクリックしてしまうことはあり得ます。
そこで、従業員を対象として、いわゆる不審メールを送信し、気づかず思わず添付ファイルやリンクをクリックすると「標的型メール訓練」であることを種明かしするページに誘導される訓練があります。訓練メールの添付ファイルを思わずクリックしてしまうと、それが本物の悪意あるメールであった場合は、企業そのものへのサイバーリスクに直結するので事は重大です。
研修では、標的型メール訓練だけではなく、パスワードの管理方法や詐欺メールの見分け方など、基本的なセキュリティ対策を説明します。繰り返し研修を行うことで、従業員の軽率な行動によるサイバー攻撃の被害を減らすことが可能です。従業員が、当たり前のセキュリティ対策を徹底して実践できることが極めて重要です。
以前は業務上使っていたけれど、今は不要になったアプリケーションをそのままにしていると、更新されず、セキュリティホールなどが手当てされないまま脆弱性が高まります。使う必要がないアプリケーションは、リスク担当責任者にも確認の上、面倒がらず、削除することによって、サーバー攻撃から被害を受けるリスクを回避することが可能です。
これだけは社員に伝えておきたいリスク対策の他の記事
おすすめ記事
中澤・木村が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2026/01/27
発災後をリアルに想定した大規模訓練に学ぶ
2026年1月14日、横浜市庁舎10階の災害対策本部運営室で、九都県市合同による大規模な図上訓練が行われた。市職員に加え、警察、自衛隊、海上保安庁、医療従事者、ライフライン事業者などが一堂に会し、市災害対策本部運営をシミュレーションした。
2026/01/26
報告すべきか迷う情報 × 最初の一言 × 隠蔽と正直の分岐点
ここ数年、データ改ざんによる不正が突然発覚するケースが増えています。製品仕様に適合していないにもかかわらず、データの書き換えが行われていたり、燃費データや排ガス成分濃度が改ざんされているなど、さまざまな分野でこうした事件は後を絶ちません。今年も、中部電力・浜岡原子力発電所において、安全データの改ざん疑いが発覚しました。 こうした改ざんを未然に防ぐことは、リスクマネジメントの最重要テーマですが、一方で、既に起きてしまっていることを前提として、いかに早く発見し、対処するかを考えておくことも危機管理においては重要になります。
2026/01/26
最優先は従業員の生活支援対策を凌駕する能登半島地震 石川サンケン
家電や自動車の電子制御に用いられるパワー半導体を製造する石川サンケン(石川県志賀町、田中豊代表取締役社長)。2024年元日の能登半島地震で半島内にある本社と3つの工場が最大震度6強の揺れに襲われた。多くの従業員が被災し、自宅が損傷を受けた従業員だけでも半数を超えた。BCPで『生産および供給の継続』を最優先に掲げていた同社は、従業員支援を最優先にした対応を開始したーー。
2026/01/23
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方