東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

人の脆弱性に対処する

システムやネットワークの運用をどんなに管理し、脆弱性に対応したとしても、最終的に操作をする人が脆弱性に対処する必要があります。

Point① ソーシャルエンジニアリングへの対処

ソーシャルエンジニアリングとは、技術的な要素を用いることなく、ユーザーIDやパスワードなどの重要な情報を入手する方法です。

ソーシャルエンジニアリングへの対処

他にも、以下のような事例があります。

  1. 従業員が機密情報を書いたメモ用紙をゴミ箱に捨ててしまい、悪意のある第三者がごみ箱の中からメモ用紙を探し出した結果、情報が漏えいした。
  2. 悪意のある第三者が電話で役職者やヘルプデスクの担当者を名乗り、電話の受信者がそれを信用してしまったため、情報を聞き出されてしまった。

これらに対処するためには、攻撃手法を理解して、社内のルールを把握することが重要です。必要に応じて教育を行う、行動できているかのチェックを行うことが有効です。

Point② 標的型メールへの対処

事例として多い事象にメールに関するものが多く見受けられます。ビジネスツールとしてメールは多くのシーンで利用されています。そのため、攻撃者が送ってきた不審な添付ファイルを利用者が開いてしまい、ウイルスに感染してしまうというものです。

標的型メールの対処

メールに関係する攻撃はEmotetに代表されるように、多くの事例が確認され、さらに一度収束したような攻撃が時を置いてまた活発化する事例も見られます。攻撃手法を理解して受信者が気を付けることが重要です。

One point

人の脆弱性は体調によっても変化をします。日頃セキュリティ意識が高い人でも、仕事が忙しく疲労がたまっている時には、判断を誤る可能性があります。また熱などの風邪のときには注意力が散漫になりがちです。
車の運転と同じように、注意力が散漫になっているなと感じたら休憩を取りながら業務をすることも重要です。自分の体調を意識し、危険な可能性があるということを理解し場合によっては休むことで減らせるセキュリティ事故もあります。