2025/12/13
これだけは社員に伝えておきたいリスク対策
本田 茂樹
現在の三井住友海上火災保険株式会社に入社、その後、出向先であるMS&ADインターリスク総研株式会社での勤務を経て、現職。企業や組織を対象として、リスクマネジメントおよび危機管理に関するコンサルティング、執筆活動を続ける一方で、全国での講演活動も行っている。これまで、信州大学特任教授として教鞭をとるとともに、日本経済団体連合会・社会基盤強化委員会企画部会委員を務めてきた。
サイバーリスクについては連載第一回で考えましたが、企業のセキュリティ対策にもかかわらず、外部からのサイバー攻撃を受けて機密情報が漏れてしまう、従業員が誤って事業に不可欠な情報を漏らしてしまうといった事例が続いています。
9月から10月にかけて、複数の著名企業が大規模ランサムウェア(※1)攻撃の標的になったことで、被害の影響が拡大しており、対策の難しさをあらためて認識させられました。今月は、再び、サイバーリスクについて考えます。
(※1)パソコン等に保存されているデータを暗号化し使用できない状態にした上で、そのデータを復号する対価(金銭や暗号資産)を要求する不正ブログラム
サイバーリスクは、外部からのサイバー攻撃を受けて事業が止まってしまう、機密情報が漏れてしまう、また従業員が誤って事業に不可欠な情報を漏らしてしまうなどにより、企業が被る損害のことです。
企業は、その活動に必要なほぼすべての情報を自社のサーバーに格納していることから、そこにサイバー攻撃を受ければ、データの漏えい・改ざんによって、業務そのものが継続できず、影響は甚大なものとなります。
もちろん、近年はサイバーリスクをカバーする保険も出ていますが、まずは被害にあわないために的確な対策を講じることが必要です。企業としては、VPN機器類等の脆弱性対策など、社内のICT専門部門と連携して取り組むことが求められますが、従業員一人一人の行動も極めて重要です。
セキュリティパッチは、ソフトウェアやOSに見つかった脆弱性、つまりセキュリティが甘いところを修正するために配布されるプログラムです。ソフトウェアやOSを古いままにしていると、脆弱性も放置され、セキュリティ上の問題点が解決されないことになります。
そこで、ベンダーが定期的に配布するプログラムを適用することによって、最新のサイバー攻撃への対策を講じることができ、自社のシステムを守ることが可能となります。
リスク担当責任者としては、まず各端末のセキュリティパッチの適用漏れをなくすことが必須ですが、従業員の中には、セキュリティパッチの適用を促されても「面倒である」ということで、そのままとなっているケースも散見されます。
そこで、リスク担当責任者は、自社のセキュリティパッチの適用状況を把握したうえで、パッチの適用までの手順を従業員任せにせず確認することが重要です。
実際、ランサムウェアの被害にあった企業・組織の68%が「未適用のセキュリティパッチがあった」と回答しており(「令和5年度上半期におけるサイバー空間をめぐる脅威の情勢等について:警察庁」)、セキュリティパッチの適用が非常に重要であることが理解できます。
それぞれの従業員が、企業の定めたID・パスワードのルールを守ることが重要です。特に、社内で使うパスワードを他のウェブサービスで使い回したことで、企業サイトに不正にログインされる被害なども増えています。
また、パスワードそのものが初期設定のままになっている、あるいはよく使われるものになっている場合もありますから、従業員任せにせず、認証情報を適切に管理しましょう。
企業が情報セキュリティの守りを固めていても、従業員の意識の低さから情報漏えいが起こることがあり得ます。
従業員の関心を引く内容のメールを使って添付ファイルを開かせる、またリンク先のウェブサイトにアクセスさせるように仕向けてランサムウェアなどのマルウェア(パソコンやその利用者に被害を与えることを目的とした悪意あるソフトウェア)に感染させる手口が確認されています。
「怪しい添付ファイルは開かない」そして「怪しいリンクは開かない」は基本中の基本ですが、日々の忙しい業務の中で、思わず、ファイルやリンクをクリックしてしまうことはあり得ます。
そこで、従業員を対象として、いわゆる不審メールを送信し、気づかず思わず添付ファイルやリンクをクリックすると「標的型メール訓練」であることを種明かしするページに誘導される訓練があります。訓練メールの添付ファイルを思わずクリックしてしまうと、それが本物の悪意あるメールであった場合は、企業そのものへのサイバーリスクに直結するので事は重大です。
研修では、標的型メール訓練だけではなく、パスワードの管理方法や詐欺メールの見分け方など、基本的なセキュリティ対策を説明します。繰り返し研修を行うことで、従業員の軽率な行動によるサイバー攻撃の被害を減らすことが可能です。従業員が、当たり前のセキュリティ対策を徹底して実践できることが極めて重要です。
以前は業務上使っていたけれど、今は不要になったアプリケーションをそのままにしていると、更新されず、セキュリティホールなどが手当てされないまま脆弱性が高まります。使う必要がないアプリケーションは、リスク担当責任者にも確認の上、面倒がらず、削除することによって、サーバー攻撃から被害を受けるリスクを回避することが可能です。
これだけは社員に伝えておきたいリスク対策の他の記事
おすすめ記事
企業の副業解禁とコンプライアンス対策を支援
企業の副業解禁の流れが加速している。従業員は本業以外の労働を増やすことで、収入増が見込める。従業員が副業で獲得したスキルで、本業への貢献も期待できる。企業側にとっても、副業は採用活動に活用できる。業務発注から関係を深めてからの転職や採用後のミスマッチを防止する効果がある。一方で、副業の一般化に伴い、同業他社での競業や情報漏えい、ブランド毀損、過重労働など、副業リスクは増加している。フクスケ(東京都千代田区)は、企業の副業制度の運用支援に加え、副業コンプライアンス向上に関するデータを分析し、リスク診断サービスも提供している。代表取締役社長の小林大介さんに、企業の副業解禁がもたらす影響について話を聞いた。
2026/06/12
中澤・木村が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2026/06/09
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2026/06/05
失われた危機意識を取り戻す災害図上訓練で自分ごと化 ミツバ
どのメーカー系列にも属さず、複数の自動車メーカーや1次サプライヤーに四輪と二輪用の電装部品を供給する独立系のサプライヤーであるミツバ(群馬県桐生市、日野貞実代表取締役社長)。近年、過去に考えられた災害対策が、途絶えつつあった。同社では“自分ごと化”で従業員の危機意識を高めるため、災害図上訓練を実施。参加者の意欲が高まり、対策用の新たな要望が集まるなど、確実な手応えを感じている。
2026/05/26
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方