前回の続きです。
前回はセキュリティ対策の一番の肝は「社員のセキュリティに対する意識」だということの話をさせていただきました。
しかし、これが本当に難しい。
セキュリティは仕事とは関係ないと思っている人が多いからです。
もし、私のメールパスワードが単純で、破られてしまった場合、
そのメールに客先から重要な情報の書かれた添付ファイルがあったとします。
例え、その添付ファイルにパスワードかかけてあり、
別のメールでパスワードが送られていたとしても、パスワードが破られては何もかもおしまいです。
添付ファイルにパスワードをかけ、そのパスワードを別のメールで送ってくる企業は感度が高いので、パスワードが破られ、ファイルが外に漏れたことを知る可能性はあるでしょう。
そうなればその客先との取引は止められ損害を受けることになります。その客先が会社の業績を左右するようなところであれば、責任を取るしかなくなることだってあり得ます。
また、直接そういった被害にあわなくても、踏み台にされ多大な迷惑をいろいろな方面にかけることだってあり得ます。
決して仕事とは関係ないことではないと思ってもらいたいだけです。
また、セキュリティ対策はウィルスチェックのソフトを入れるだけでは叶いません。
パスワードの書かれた紙を普通にごみ箱に捨て、それを拾われるソーシャルエンジニアリングといったものもありますし、
さまざなまサービスでパスワードを使いまわすことによって被害が拡大するパスワードリスト攻撃などいろいろあります。
これはウィルスチェックソフトでは防げません。
それを防ぐにはシステムエンジニアや情報システム部門だけではできません。
意識を高めてもらうしかありません。
システムエンジニアといれば、PCに一日中向かって、プログラミングやサーバの設定をいじった入りといった印象が強いかもしれませんが、これからは「教育する」といったことも必要になり、今まで必要とされたスキル以外に、
人前でわかりやすく話す技術であったり、だれにでもわかる資料の作り方であったり、
そういったスキルを高める必要が出てきたのを強く感じました。
