『インターネット安全教室講師養成講座』に参加してきました

2月15日と16日に大分市情報学習センターにて開催された『インターネット安全教室講師養成講座』に参加してきました。

これは、主に学校の児童生徒・先生・保護者向けにインターネットを安全に利用するための『インターネット安全教室』の講師として必要な基礎的な情報セキュリティに関する知識と教材の使い方、講義の進め方を学ぶための講座でした。

その中にはIPA（情報処理推進機構）の方の『情報セキュリティ10大脅威2019』に関する講義や、最近の「APT10」によるサイバー攻撃の概要の説明もあり、とても有意義な2日間でした。

さて今回は、その『情報セキュリティ10大脅威2019』について前回の個人編に引き続き「組織編」を取り上げます。

情報セキュリティ10大脅威2019～組織編～

この『情報セキュリティ10大脅威』とは、2018年に発生した情報セキュリティに関する事案の中から社会的に影響の大きなものについて、情報セキュリティの専門家が選定したものです。

その「組織編」は以下のようなランキングとなっています。

順位	脅威	昨年順位
1	標的型攻撃による被害	1位
2	ビジネスメール詐欺による被害	3位
3	ランサムウェアによる被害	2位
4	サプライチェーンの弱点を悪用した攻撃の高まり	—
5	内部不正による情報漏えい	8位
6	サービス妨害攻撃によるサービスの停止	9位
7	インターネットサービスからの個人情報の窃取	6位
8	IoT機器の脆弱性の顕在化	7位
9	脆弱性対策情報の公開に伴う悪用増加	4位
10	不注意による情報漏えい	12位

上位に関しては多少順番が入れ替わっていますが、顔ぶれとしては同じ3つです。

特に「標的型攻撃」については手口が年々巧妙化しているように思われます。

地方にいて、中小企業・小規模事業者となると「自分たちが狙われたりするはずがない」と思いがちですが、決してそんなことはないと肝に銘じておく必要があると思います。

「ビジネスメール詐欺」についても同様です。

これらの問題への対応策としては、可能な限り攻撃手口等の情報収集を行うことが大切です。

やはり一番役に立ちそうなのがIPAの情報です。

IPAのサイトの情報セキュリティのコーナーやYouTubeの「IPAチャンネル」で公開されている動画はお勧めです。

「人的リスク」にも要注意です

5位や10位で内部不正や不注意による情報漏えいがランクインしています。

「情報セキュリティ」に関する問題は技術的な面に目が行きがちですが、「人」に関するリスクについても注意が必要です。

「内部不正」については、その誘因となるような所属組織への悪印象を持たせないようなモチベーション管理であったり、コミュニケーションの充実が必要となります。

また、「内部不正」や「不注意」でのミスが起こらないように、「ダブルチェック」の仕組みを導入することも有効です。

「情報セキュリティ」については「知ること」が一番大事

情報セキュリティの問題は身近な問題ではありますが、パソコンやITツールを使うことに慣れていない人にとってはそもそも興味・関心のないところなのかもしれません。

また、人的リスクに対する対策として「ダブルチェック」が有効ではありますが、『一人ビジネス』の場合はチェックしてくれる人もいないという状態となります。

そういったことも考えると、まずは「情報セキュリティ」に対して興味を持って「知る」ことが重要なのではないかと思います。

私のような立場からすると「知ってもらうこと」となります。

そのための「情報発信」、これからも力を入れてやっていきたいと思います。