- トピックス
- 2023.07.28
突然ですが、ISMSという言葉をご存知でしょうか。
ISMS(情報セキュリティマネジメントシステム)とは、自社の情報セキュリティリスクを管理する仕組みのことです。
またISMSが適切に構築・運用されているか、外部の認証機関の審査を受審し取得するISMS認証という制度があります。
ハイブリィドでもISMS認証を取得し、定めた情報セキュリティ要求事項に従って、情報資産が守られるよう管理・運用しています。
その一環として全社員を対象とした情報セキュリティ研修を毎年実施しています。
1~3回目は情報セキュリティに関する基本的な知識の習得と、PC・スマホや社内システムの運用に関する規則の周知を行いました。
4回目は年々高度化しているマルウェアについて手口や感染経路、感染リスクを学習し注意を促しました。
5回目となる今回はハイブリィドの情報セキュリティ対策を知ったうえで、セキュリティインシデントの発生前後で何をすべきか学習しました。
研修内容
1. 情報セキュリティについて
マルウェアや不正アクセスなどのサイバー攻撃やPC紛失による情報流出などのインシデントと、これに伴って引き起こされる業務停止や訴訟といったリスクの関係性から情報セキュリティの重要性について再認識しました。
2. ハイブリィドの情報セキュリティ対策
ハイブリィドを取り巻く環境として、企業を狙ったサイバー攻撃が高度化していることとリモートワークの常態化が挙げられます。
この環境に適したセキュリティ対策としてハイブリィドでは、従来の境界型セキュリティ(*)ではなく、『ネットワークは内部・外部を問わず開放されており、あらゆるアクセスも信用しない』というゼロトラストコンセプトのセキュリティソリューションを導入しています。
この導入しているソリューションおよびその運用フローについて学習し、自社セキュリティへの理解を深めました。
*境界型セキュリティ…組織の内部・外部に境界を設け、境界の外からの攻撃をブロックし、中からのアクセスのみを許可するセキュリティ対策。
3. ハイブリィドのインシデント事例
ハイブリィドで実際に発生したインシデント事例を基に、昨今のインシデント傾向の学習と、インシデント発生時のやってはいけないことの注意喚起を行いました。
4. インシデントの発生の事前対策と事後対応について
情報セキュリティ対策やインシデント事例を踏まえて、事前にセキュリティを高めるためにやっておくべきこととインシデントが発生した事後に当事者としてやらなくてはいけないことへの理解を深めました。
特にマルウェアが猛威を振るっている昨今を鑑み、マルウェア感染が疑われるケースとはどのようなものか、また感染が疑われる場合の対応手順を学習しました。
5. 守るべき基本的なルールについて
ハイブリィドで貸与しているPCやスマホなどの基本的な使用ルールや個人情報の取り扱い時の注意事項を説明し、不適切な貸与デバイスの使用や杜撰な個人情報の取り扱いがないように改めて周知しました。
6. 報告や連絡の窓口について
何かあった場合に速やかに連絡できる体制づくりのため、有事の窓口について再周知を行いました。
編集後記
情報セキュリティ研修を実施後に、社員がWebサイト閲覧中に偽のセキュリティ警告画面が表示される事象が発生しました。
偽の画面を疑って、ネットワーク隔離やウイルススキャン、関係者への報告など研修で学んだことをしっかりと実施できており、早速研修の効果を体感しました。
今後も研修を通して、社内のセキュリティ意識の向上や、情報セキュリティポリシーに則った行動の徹底化を推進してまいります。