近年、テレワークの普及やクラウド活用の拡大を背景に、多くの企業でセキュリティ対策の強化が求められており、全社員参加の対策強化が不可欠となっています。
しかし、専門用語が多く内容が難しいため「よくわからないまま使っている」や「自分には関係ない」と感じる従業員も多く、最悪の場合には重大な情報漏えいリスクを引き起こしてしまいます。
本記事では「社内でよく使われるセキュリティ関連の用語」と「具体的な対策方法」について、非IT部門の担当者でもわかるよう、Q&A形式でなるべくわかりやすく解説していきます。
この記事を読むことで、普段の業務の中で「言葉の意味がよくわからないまま使っている」や「なんとなく重要そうだけれど、具体的に何を気をつければいいのか分からない」と感じる場面を減らすことができるでしょう。
セキュリティ対策は、一部の専門担当者だけでなく、従業員一人ひとりの行動によって成り立っています。本記事では難しい定義の話よりも「自分の仕事にどう関係するのか」や「どんな行動が求められるのか」をできるだけ具体的にお伝えしていきます。
目次
本用語集の使い方
本記事では、セキュリティに関する用語について、以下のような構成で説明しています。
| 用語の意味 | ITやセキュリティに詳しくない方でもイメージしやすいよう、専門用語をできるだけ減らして解説しています。 |
| なぜ重要なのか? | 特に「会社にどんな影響があるのか?」や「自分の業務にどう関係するのか?」を簡潔にまとめています。 |
| どう行動すべきか? | 業務に携わる方々に実践していただきたいポイントを、具体的な行動でわかりやすく記載しています。 |
必要なときに気になる用語だけを調べていただいても構いませんし、最初から順番に読んでいただいても構いません。また、読み進めていくうちに、少しでも「内容が分からない」や「もっと詳しく知りたい」と感じた場合は、社内の情報セキュリティ担当窓口まで遠慮なくお問い合わせください。
①:多要素認証
Q:多要素認証とは何ですか?なぜ使わないといけないのですか?
A:多要素認証とは「アカウントの認証フローにおいて、パスワードに加えて、もう1つの確認方法を使う仕組み」のことです。2つの要素を組み合わせる認証方式から「2要素認証」と言ったりもします。
パスワードだけだと、万が一他人に知られてしまったときに、すぐに不正にログインをされてしまいます。そこで「スマホに届く確認コード」や「生体認証(指紋や顔認証)」などを組み合わせることで、万が一、パスワードが漏れてしまった場合でも、すぐに侵入できないようにブロックすることができます。空き巣に対して鍵を2つ付けるイメージで「会社のデータを守るための追加ロック」と考えてください。
②:IPアドレス接続制限
Q:IPアドレス接続制限とは何ですか?なぜ制限が必要なのですか?
A:IPアドレス接続制限とは「会社のネットワークなどの決められた場所からしかシステムに入れないようにする仕組み」のことです。第三者による不正アクセスのブロックに効果を発揮します。
会社のオフィスや特定の拠点からのアクセスだけを許可し、それ以外の場所(不明なネットワーク)からはログインできないようにするセキュリティ対策です。これにより「どこの誰かわからない人」が外部から不正アクセスを試みても、そもそも入り口でブロックできるようになります。会社の建物の入口で社員証を確認するようなイメージで、システムの入口を安全に保つ役割があります。
③:パスワードの堅牢性・複雑性
Q:なぜパスワードを複雑にしないといけないのですか?覚えにくくて困ります。
A:短くて単純なパスワードは「あっという間に攻撃者によって総当たりで試されてしまう可能性が高い」からです。複雑で覚えにくい場合には、パスワード管理ツールの利用も検討してみましょう。
単純なパスワード(例えば「123456」や「自分の誕生日」など)は、攻撃者にとって「簡単に当てられるパスワード」です。英大文字・小文字・数字・記号を組み合わせた長めのパスフレーズにすると、コンピュータが総当たりで試すのにも長い時間がかかるため、破られにくくなります。覚えやすくするためには「意味のない文字列」ではなく「自分だけがわかるフレーズ+数字+記号」といった形で工夫し、パスワード管理ツールの利用も検討してください。
④:特権管理者と一般ユーザーの違い
Q:よく聞く「特権管理者」と「一般ユーザー」の違いは何ですか?
A:特権管理者は「ユーザーの追加や削除といった強い権限」を持っているユーザーであるのに対して、一般ユーザーは「自分の業務に必要な範囲だけ利用できる弱い権限」を持っているユーザーのことを指します。
特権管理者は「ユーザーの追加・削除」や「システム設定の変更」など、システム全体に影響する操作ができる非常に強い権限を持っています。万が一、特権管理者のアカウントが乗っ取られてしまうと、全ユーザーの情報閲覧や設定変更が可能になり、会社全体に重大な被害が出る恐れがあります。特権管理者は人数を絞り、厳格な管理(多要素認証の必須化や操作ログの記録など)が必要になるのです。
⑤:メールの添付ファイルやリンクの安全確認
Q:メールの添付ファイルやリンクを安易に開いてはいけないのはなぜですか?
A:メールの添付ファイルやリンクには「攻撃者による悪意あるウイルスや不正なサイトへ誘導するための仕掛けが含まれていることがある」からです。怪しいリンクやファイルは不用意にクリックしてはいけません。
特に「心当たりのない差出人」や「内容が不自然なメール(急にパスワード入力を求めたり、今すぐ入金を迫ったりなど)」の添付ファイルやリンクは、絶対に開かないでください。また、少しでも違和感を覚えたら、添付ファイルを開く前(リンクをクリックする前)に、必ず上長や情報システム担当者へ相談するようにしてください。メールの内容が「おかしいかも?」と思った時点で手を止めることが、被害の拡大を防ぐ一番大切なポイントです。
⑥:私物のPCやクラウドサービスの利用の注意点
Q:仕事のデータを個人所有のPCや個人のクラウド環境に保存しても大丈夫ですか?
A:大丈夫ではありません。会社が許可していない端末の使用やフラッシュメモリへのデータ移行、クラウドサービスへの保存は禁止されています。どうしても使用しなければならない場合は、必ず会社の許可を取ってから利用するようにしましょう。
私物PCや個人契約のクラウドサービスは、会社としてセキュリティ設定や管理状況を把握できないため、ウイルス感染や情報漏えいのリスクが高くなります。例えば、自宅のPCがウイルスに感染していた場合、そこに保存していた社内のデータが外部に流出してしまう可能性があるわけです。会社で定めているルールに従って「業務で利用してよい端末やサービス」のみを使うようにしてください。
⑦:外出先でフリーWi‑Fiを利用するときの注意点
Q:カフェや駅のフリーWi‑Fiで仕事のシステムにログインしても大丈夫ですか?
A:大丈夫ではありません。フリーWi‑Fi経由での社内システムのログインは、IDやパスワードが盗まれるリスクを高めてしまいます。知らずに接続されているケースもあるため、既知のネットワークのみを使用するよう、本体の設定から変更しておきましょう。
フリーWi‑Fiは、通信の中身が盗み見られたり、偽物のアクセスポイントが紛れていたりする可能性があるため安全とは言えません。会社が用意しているVPNや信頼できるネットワーク(モバイルルーターやテザリングなど)を使うなど、ルールに沿った接続方法を必ず守ってください。決して「楽だから」という理由で安易にフリーWi‑Fiを使わないことが、情報漏えいの防止につながります。
SaaSのセキュリティ評価ならITreviewの『SaaSセキュアチェック』がおすすめ!
アイティクラウドの提供する『SaaSセキュアチェック Pro』では、SaaSの導入時および導入後のセキュリティ評価を効率化し、標準化された評価項目をもとに、対象のSaaSのセキュリティ対応状況を一元管理することが可能です。
これまで、SaaSベンダーとのセキュリティチェックシートのやり取りは担当者の負担が大きく、SaaS導入の足枷となっていました。こうしたセキュリティ評価ツールを導入することで、SaaSのセキュリティリスクを軽減できるだけでなく、業務の効率化や生産性の改善を図ることができるでしょう。
まとめ:少しでも不安なときは迷わず相談しよう!
いかがだったでしょうか?今回紹介してきたような事例の数々は、いずれもセキュリティに対するリテラシーを高める上では、最低限知っておくべき内容ばかりです。
大切なのは、従業員一人ひとりがルールを守り、少しでも怪しいと感じた場合には「迷わず相談する」といった社内文化を醸成することです。個人の意識レベルの向上こそが会社を守る最大の防御策です。
そのため、自分の判断だけで「大丈夫」と決めつけるのではなく、少しでも不安を感じたら、まずは社内の決められた窓口(情報システム部門やセキュリティ担当など)に必ず相談するようにしてください。
もしも、実際に問題が起きていた場合、早く気づけば気づくほど、被害を小さく抑えることができます。一度相談してみるという行動は決して悪いことではなく、むしろ早期発見・早期対応につながる重要な勇気ある行動だといえるでしょう。
