社内や組織内において情報リテラシーが向上しない場合、「情報リテラシーが低い人」がセキュリティホールとなり、思わぬ被害や損害を受ける可能性があります。

企業や組織として安心・安全に商品やサービスを提供するには、情報リテラシーの向上によってセキュリティ性を確保しなくてはなりません。

今回は、情報リテラシーに関する基礎知識や情報リテラシーを向上する方法とセキュリティ対策への応用をご紹介します。

情報リテラシーに関する基礎知識

はじめに情報リテラシーに関する基礎知識について簡単に説明します。

情報リテラシーの本来の意味

リテラシーとは日本語で言うところの識字率に近い意味合いを持ち、文字を読み、文字を書けることを指します。そして、情報リテラシーとは情報を読み、自ら情報を書けることと解釈するのが自然です。現代における情報リテラシーは、情報化社会において「正しく情報を読み解くこと、そして正しく情報を発信すること」とも言えます。ただし、情報リテラシーについてはメディアリテラシーやICTリテラシー、ITリテラシーやコンピュータリテラシーなどと混同されたり、同じような意味合いとして使われること、解釈や考え方の違い、諸説あることも覚えておきましょう。

情報リテラシーは「情報を適切に判断し、情報を通じて決定を下す能力」と定義されます。

引用元：独立行政法人国民生活センター - フェイクニュース拡散のしくみと私たちに求められるリテラシー

上記の独立行政法人国民生活センターの発信したPDFにおいて情報リテラシーを定義したものですが、今回記事ではこの定義を元に説明をしていきます。

なぜ、情報リテラシーが必要なのか

情報リテラシーが必要な理由は、情報化社会において何が正しく、何が間違っているのかを自分自身で判断するためと言えます。メディアリテラシーとも通ずる部分ですが、情報が溢れる世の中において、言葉や文章の表現の違い、または着目する部分の違い、その他にも立場や性格、経験や知識など十人十色の違いのある膨大なデータ＝情報から、正しい情報を選択する、もしくは誰もが同じ答えになるような情報を得るのはとても困難です。

もちろん、1＋1＝2というような、必ずしも明確な答えがあるとは限りません。しかし、誤った情報を信じてしまい、自分の知識や経験にしてしまうことは非常に危険です。例えば、「デフォルトのセキュリティ機能でサイバー攻撃を防げる」という言葉を信じて、何もセキュリティ対策をしない、またはセキュリティ意識を向上しない場合、何らかの被害を受ける可能性が高まります。極端な例ではありますが、もし自分が知り得た情報が直接的に自分の健康を害するものだとしたら？もしくは家族に悪影響になるものだとしたら？と考えると、情報リテラシーがなぜ必要なのか、その切実な理由が理解できるのではないでしょうか。

情報リテラシーの有無がセキュリティ性に影響する

情報リテラシーが無い場合、悪意のある第三者からのサイバー攻撃による被害を受けやすくなります。言葉巧みで信じたくなるような嘘の言葉や文章を信じてしまうことで、金銭的な被害を受けてしまうということです。もし、そんな人が従業員にいた場合、企業や組織におけるIT資産や情報資産を守りきることはできません。例えば、取引先のメールだと思って添付ファイルを開いたらマルウェアだった、入金先の口座が変更になったと連絡が来て、信じたらビジネスメール詐欺だったなどなど、普通なら騙されないような手口に簡単に騙されてしまいます。

情報リテラシーの定義である「情報を適切に判断し、情報を通じて決定を下す能力」とは真偽を問うこと、もしくは疑うことでもあると言えます。しかし、企業活動においてその都度、疑って確認や精査していてはスピーディではありませんし、顧客やユーザーに失礼です。何よりも、毎回毎回、疑いながら仕事する人はいません。すなわち、セキュリティ性の確保とともに、スムーズに業務や作業を進めるためにも、情報リテラシーの向上が必須だということです。

情報リテラシーを向上する方法とセキュリティ対策への応用

次に、情報リテラシーを向上する方法とセキュリティ対策への応用についてお話します。

従業員の情報リテラシーと基礎的なITレベルを把握する

まずは従業員の情報リテラシーや基礎的なITレベルを把握しましょう。例えば、ビジネスメール詐欺、フィッシング詐欺などの事例などを見せて、騙されないかどうかというような簡単なチェックでも構いません。情報リテラシー以前の問題で「自分もサイバー攻撃にあうかもしれない」と理解してもらうことで、セキュリティのレベルとともに情報リテラシーの向上に役立ちます。基礎的なITレベルの部分も同様であり、サイバー攻撃について知らなければセキュリティ意識も向上しませんので、サイバー攻撃の事例や被害に関する情報を共有しつつ、セキュリティ意識を持つことから始めるようにしましょう。

「知っていて当然」という態度で研修や教育を行わないこと

情報リテラシーやセキュリティ意識を向上するためには「知っていて当然」というような態度で研修や教育を行わないことが大切です。むしろ、知らなくて当然、知っていても、もう一度おさらいするくらいの気持ちで研修や教育を行いましょう。特に情報リテラシーやセキュリティ意識が育ってない場合、よくわからないまま、または誤解されたままになるのが一番危険です。自分自身でどう思った、ということよりも、こういった時はこう判断するというような具体的な答えを伝えつつ、判断に困ったらいつでも相談できるような体制と人間関係を構築することをおすすめします。

役職や立場、雇用関係ごとの「責任」で区分しないことが大事

情報リテラシーやセキュリティ意識は誰もが一律に責任があることとして理解しましょう。例えば、アルバイトだから、パートだからという理由で情報リテラシーやセキュリティ意識が低くてもOKということはありません。同じ企業や組織で働く仲間として、等しく情報リテラシーを持つこと、セキュリティ意識を持つことを重視しましょう。同じく、管理者だから、責任者だから知らなくても良いというような気持ちを持ってはいけません。誰もがサイバー攻撃の被害を受ける可能性があることを周知徹底しましょう。

情報リテラシーやセキュリティ意識を定期的にアップデートする

情報リテラシーやセキュリティ意識は定期的なアップデートが必要です。古い考えのままでは新しいサイバー攻撃の手口に対処できませんし、高度な情報化社会はルールや考え方、解釈の仕方も変化してくるためです。昨今ではフィッシング詐欺やビジネスメール詐欺のような人間の心理を悪用したサイバー攻撃も増えています。人を焦らせること、不安にさせることで情報を搾取し、搾取した情報を悪用してさらに周囲の人を騙そうとしてきます。情報リテラシーがあれば、自分で判断できない時点で周囲や上司に相談できるようになります。もしくは冷静に対処し、被害を受けずに済むかもしれません。同時に管理する側においても、従業員の情報リテラシーやセキュリティ意識に甘えることなく、システム面、業務体制、作業手順、報告や連絡、相談、人間関係も含めてセキュリティホールを作らないよう努力しましょう。

雇用する側・管理する側が持つべき情報リテラシーや考え方とは

次に雇用する側・管理する側が持つべき情報リテラシーや考え方とは何か解説します。

従業員にセキュリティの責任は押し付けるべきではない

前提として、情報リテラシーに関する教育や研修は大事ですが、あくまでもセキュリティの責任は雇用する側や管理する側が担うということです。もちろん、内部不正によって悪意のある従業員がセキュリティインシデントを引き起こした場合は別ですが、それでも完全に企業や組織が責任を取らなくて良いということにはなりません。

企業や組織における事業活動で生じたデータや情報は資産です。すなわち情報資産として雇用する側、管理する側が責任を持つこと、セキュリティ体制を構築することを大前提としておくことを覚えておきましょう。

従業員が安心・安全に働ける環境を整えるということ

従業員が安心・安全に働けるように、デバイス・システム・ネットワークに関しては雇用する側・管理する側が環境を配備すべきと言えます。システム的にもデバイス的にもセキュリティ性が確保できる環境を整えなければ、いつ何時、セキュリティインシデントが発生してもおかしくありません。情報リテラシーに関する教育とともに、デバイスやシステム面でのセキュリティ性を確保し、維持し続けることが求められるのです。

内部不正も含めて、監視によって透明性を確保することの重要性

監視は適切に運用することで、従業員の作業や業務に関する透明性を確保することにつながります。後述しますが、うっかりミスやヒューマンエラーは誰にでも起こり得ることだからです。同時に内部不正も含めて、監視しているというセキュリティ体制を周知することで、不要なリスクの軽減や抑止力としての効果も期待できます。

特に内部不正は、権限や立場を悪用して企業や組織の財産を搾取するような行為です。権限や立場があるからバレないと思い込んでいると、内部不正を起こしてしまう可能性が高いですが、権限や立場があってもシステム的に露見するとわかっていれば、抑止力になるということです。

権限や立場をシステムやデータの取扱いにも反映させること

内部不正に配慮しつつも、権限や立場をシステムやデータの取扱いに反映させることは、セキュリティ的にも必須と言えます。誰にでもデータにアクセスできるような環境よりも、必要な人が必要な時にアクセスできる環境の方が安全なのは明白です。

言い換えれば、監視やその他のセキュリティ対策によって、内部不正が検知される仕組みがあるからこそ、データへのアクセス権や閲覧・編集・削除などの権限のセキュリティ効果が高まると言えます。また、権限や立場によってすべてのデータにアクセスできるような状態にせず、不要であれば管理職や経営陣であっても、すぐにはアクセスできない、何らかの手続きや段取りを踏むようにしておけば、安易に内部不正を行うようなことは防げるでしょう。

セキュリティインシデント発生時は権限や立場を越え協力できる体制作りを

サイバー攻撃や内部不正が発生した際、どれだけ迅速に真摯な対応ができるかが求められます。そのため、必要に応じて一部の担当者の意見を尊重し、管理職の権限を持って実行できるようにしておくことが大切です。

特にセキュリティに関して言えば、管理職がセキュリティの専門家でなければ、経営に関する判断も含めて即時指示ができないことがあります。従業員とはいえ、セキュリティの担当者の意見を聞くこと、実行に移すべきか判断することは管理者や雇用する側が行うべきと覚えておきましょう。

情報リテラシーを高めつつ、システム面でのセキュリティを強化する方法

次に情報リテラシーを高めつつ、システム面でのセキュリティを強化する方法について解説します。

監視の仕組みや内部不正対策の周知徹底

PC操作ログ・メール送信履歴・Web閲覧履歴、デバイス内のファイル・デバイスのインストールの制御など、監視や内部不正対策の仕組みを導入しましょう。同時に、セキュリティ的に穴とならない範囲で周知徹底しておくことをおすすめします。

その他にもデータのアクセス、編集や削除に関してもログを監視しておけば、いつ・どこで・誰が・何を・どのようにしたということが把握できるため、内部不正とともにサイバー攻撃を検知することにも役立ちます。

うっかりミスやヒューマンエラーを起こしにくいシステム環境の整備

アクセス権や権限の割り当てを適切にすれば、うっかりミスやヒューマンエラーを起こしにくくなります。同時にUSBメモリやDVD/CDなどにデータを移動できないようにしておくこと、私物のパソコンやスマートフォンは接続できないようにしておくことで、つい楽をしようとして、ちょっとデータを移動しようとしたといったこともできなくなります。

その他にもPC操作やデータへのアクセス時にアラートを表示したり、明らかな間違いは検知できるようにしておけば、うっかりミスやヒューマンエラーがあっても、その先のセキュリティインシデントにつながりにくくなるでしょう。

脆弱性やセキュリティーホールとなる箇所の把握と重点的な対策

デバイス・システム・ネットワークなど、脆弱性やセキュリティホールとなる箇所の把握を行いましょう。昨今ではVPN機器の脆弱性、サーバーやOSの脆弱性、ソフトウェアやアプリの脆弱性など、どこに脆弱性が潜んでいるか把握しにくいことから、入念に下調べと調査を行った上で対策すべきです。

例えば、ありがちなのがネットワーク機器、もしくは新しい機種のないデバイスなど、替えの効かない機器が、物理的に更新されないまま、システム的なアップデートが行われずに放置されるケースです。VPN機器やWi-Fi機器など、長く使っているデバイスを精査し、定期的に新しいデバイスに更新することも忘れないでください。

BYODなど必要な範囲で私物の管理やセキュリティ強化への投資

私物のスマートフォンやパソコンの利用は制限した方がセキュリティ的には良いのは確かです。しかし、業態によってはBYODに頼らざるを得ないこともあるでしょう。その場合は従業員と合意の上で、管理する仕組みやシステムを私物のデバイスにインストールして、セキュリティを強化することで安全性を高めることにつながります。

ただし、基本的にはデバイスもネットワークも私物のものを利用させないこと、スマートフォンも同様であり、管理されていないデバイスの利用は推奨すべきではないと覚えておきましょう。言い換えれば、デバイスやネットワークを準備できなければ、情報リテラシーが高いとしてもテレワークにいきなり対応すべきではないということです。

IT資産管理や情報資産管理による一元的なセキュリティ対策

社内や組織内のIT資産などのデバイス、データである情報資産を守るためにはIT資産管理と情報資産管理による一元的なセキュリティ対策が必須です。物理的にもシステム的にも防御できる仕組みがあれば、基本となるセキュリティ基盤が構築できるためです。また、IT資産管理や情報資産管理の仕組みを導入せず、局所的に「セキュリティ対策を行ったつもり」になるのは非常に危険です。

管理する側や情報システム部、セキュリティ担当がすべてのデバイスを把握し、監視し、管理できるようにすること、データや情報に関しても同様であり、管理するためのシステムと人材の確保によって、安全性と信頼性を高めることをおすすめします。

まとめ：情報リテラシーとシステムやツールによる防御および対策を

今回は情報リテラシーに関する基礎知識や情報リテラシーを向上する方法とセキュリティ対策への応用をご紹介しました。

昨今のサイバー攻撃は「あれ？おかしいぞ？」と思わせないような手口が増えています。情報リテラシーを備えていなければ簡単に騙されてしまいますし、被害も大きくなります。サイバー攻撃による被害を防ぐためにも、情報リテラシーとセキュリティ意識の向上、そしてシステム的に防御や対策することを忘れないでください。

現時点において情報リテラシーやセキュリティ意識の向上ができていないとお悩みであれば、まずはシステム的な防御を強化するためにも、当社の提供する「AssetView」の導入をおすすめします。さまざまな角度からのサイバー攻撃への対策となる機能が備わっており、悪意のある第三者からのサイバー攻撃から、従業員や情報資産、IT資産を守ることができます。ぜひともこの機会にご相談、お問い合わせください。