2025/12/13
これだけは社員に伝えておきたいリスク対策
本田 茂樹
現在の三井住友海上火災保険株式会社に入社、その後、出向先であるMS&ADインターリスク総研株式会社での勤務を経て、現職。企業や組織を対象として、リスクマネジメントおよび危機管理に関するコンサルティング、執筆活動を続ける一方で、全国での講演活動も行っている。これまで、信州大学特任教授として教鞭をとるとともに、日本経済団体連合会・社会基盤強化委員会企画部会委員を務めてきた。
サイバーリスクについては連載第一回で考えましたが、企業のセキュリティ対策にもかかわらず、外部からのサイバー攻撃を受けて機密情報が漏れてしまう、従業員が誤って事業に不可欠な情報を漏らしてしまうといった事例が続いています。
9月から10月にかけて、複数の著名企業が大規模ランサムウェア(※1)攻撃の標的になったことで、被害の影響が拡大しており、対策の難しさをあらためて認識させられました。今月は、再び、サイバーリスクについて考えます。
(※1)パソコン等に保存されているデータを暗号化し使用できない状態にした上で、そのデータを復号する対価(金銭や暗号資産)を要求する不正ブログラム
サイバーリスクは、外部からのサイバー攻撃を受けて事業が止まってしまう、機密情報が漏れてしまう、また従業員が誤って事業に不可欠な情報を漏らしてしまうなどにより、企業が被る損害のことです。
企業は、その活動に必要なほぼすべての情報を自社のサーバーに格納していることから、そこにサイバー攻撃を受ければ、データの漏えい・改ざんによって、業務そのものが継続できず、影響は甚大なものとなります。
もちろん、近年はサイバーリスクをカバーする保険も出ていますが、まずは被害にあわないために的確な対策を講じることが必要です。企業としては、VPN機器類等の脆弱性対策など、社内のICT専門部門と連携して取り組むことが求められますが、従業員一人一人の行動も極めて重要です。
セキュリティパッチは、ソフトウェアやOSに見つかった脆弱性、つまりセキュリティが甘いところを修正するために配布されるプログラムです。ソフトウェアやOSを古いままにしていると、脆弱性も放置され、セキュリティ上の問題点が解決されないことになります。
そこで、ベンダーが定期的に配布するプログラムを適用することによって、最新のサイバー攻撃への対策を講じることができ、自社のシステムを守ることが可能となります。
リスク担当責任者としては、まず各端末のセキュリティパッチの適用漏れをなくすことが必須ですが、従業員の中には、セキュリティパッチの適用を促されても「面倒である」ということで、そのままとなっているケースも散見されます。
そこで、リスク担当責任者は、自社のセキュリティパッチの適用状況を把握したうえで、パッチの適用までの手順を従業員任せにせず確認することが重要です。
実際、ランサムウェアの被害にあった企業・組織の68%が「未適用のセキュリティパッチがあった」と回答しており(「令和5年度上半期におけるサイバー空間をめぐる脅威の情勢等について:警察庁」)、セキュリティパッチの適用が非常に重要であることが理解できます。
それぞれの従業員が、企業の定めたID・パスワードのルールを守ることが重要です。特に、社内で使うパスワードを他のウェブサービスで使い回したことで、企業サイトに不正にログインされる被害なども増えています。
また、パスワードそのものが初期設定のままになっている、あるいはよく使われるものになっている場合もありますから、従業員任せにせず、認証情報を適切に管理しましょう。
企業が情報セキュリティの守りを固めていても、従業員の意識の低さから情報漏えいが起こることがあり得ます。
従業員の関心を引く内容のメールを使って添付ファイルを開かせる、またリンク先のウェブサイトにアクセスさせるように仕向けてランサムウェアなどのマルウェア(パソコンやその利用者に被害を与えることを目的とした悪意あるソフトウェア)に感染させる手口が確認されています。
「怪しい添付ファイルは開かない」そして「怪しいリンクは開かない」は基本中の基本ですが、日々の忙しい業務の中で、思わず、ファイルやリンクをクリックしてしまうことはあり得ます。
そこで、従業員を対象として、いわゆる不審メールを送信し、気づかず思わず添付ファイルやリンクをクリックすると「標的型メール訓練」であることを種明かしするページに誘導される訓練があります。訓練メールの添付ファイルを思わずクリックしてしまうと、それが本物の悪意あるメールであった場合は、企業そのものへのサイバーリスクに直結するので事は重大です。
研修では、標的型メール訓練だけではなく、パスワードの管理方法や詐欺メールの見分け方など、基本的なセキュリティ対策を説明します。繰り返し研修を行うことで、従業員の軽率な行動によるサイバー攻撃の被害を減らすことが可能です。従業員が、当たり前のセキュリティ対策を徹底して実践できることが極めて重要です。
以前は業務上使っていたけれど、今は不要になったアプリケーションをそのままにしていると、更新されず、セキュリティホールなどが手当てされないまま脆弱性が高まります。使う必要がないアプリケーションは、リスク担当責任者にも確認の上、面倒がらず、削除することによって、サーバー攻撃から被害を受けるリスクを回避することが可能です。
これだけは社員に伝えておきたいリスク対策の他の記事
おすすめ記事
中澤・木村が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/12/09
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2025/12/05
競争と協業が同居するサプライチェーンリスクの適切な分配が全体の成長につながる
予期せぬ事態に備えた、サプライチェーン全体のリスクマネジメントが不可欠となっている。深刻な被害を与えるのは、地震や水害のような自然災害に限ったことではない。パンデミックやサイバー攻撃、そして国際政治の緊張もまた、物流の停滞や原材料不足を引き起こし、サプライチェーンに大きく影響する。名古屋市立大学教授の下野由貴氏によれば、協業によるサプライチェーン全体でのリスク分散が、各企業の成長につながるという。サプライチェーンにおけるリスクマネジメントはどうあるべきかを下野氏に聞いた。
2025/12/04
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方