ニュース
従業員はセキュリティに“疲れている” 取るべき対策はあるか?
企業はセキュリティリスクの低減に向けて従業員に強い規制をかけることがある。しかしこれは「セキュリティ疲れ」と呼ばれる状況を引き起こし、事態をより悪化させる可能性があると分かった。
セキュリティ企業のESETは2022年11月22日(現地時間)、同社のブログで従業員が無力感とコントロールの喪失に陥る「セキュリティ疲れ」状態になり、致命的な問題を引き起こす前に取り組むべき対策を紹介した。
ESETは解説の中で「従業員に高すぎるセキュリティ規制をかけることで状況は好転するどころか悪化する可能性がある」と指摘している。
強すぎる縛りは逆効果 企業が取るべき対策とは?
セキュリティリスクにおいて従業員が重要なファクターになっていることは、これまでセキュリティ当局や多くのセキュリティベンダーが繰り返し指摘してきた。そのため、企業は従業員がこうしたリスクを引き起こすことのないように、強制的にセキュリティポリシーを強要したり、面倒で複雑な操作を要求したりする。
しかしこうした強力なセキュリティルールは逆効果で、無力感とコントロールの喪失に陥るセキュリティ疲れを従業員にもたらすとESETは指摘している。セキュリティ疲れに陥ると、従業員は以下のようなリスクのある操作を簡単に実行してしまう。
- フィッシングメールのリンクをクリックしたり添付ファイルを開いたりしてしまう
- 認証情報を複数のアカウントで再利用する
- VPNなしで企業ネットワークにログインする
- セキュリティで保護されていない公共Wi-Fiから企業アカウントにログインする
- パッチを適用しない
- インシデントを上司に報告しない
- オンラインショッピングやゲームなど個人的な目的で仕事用デバイスを使用する
- セキュリティポリシーを回避する
ESETは従業員のセキュリティ疲れを防ぐために以下に留意するよう企業にアドバイスしている。
- セキュリティが仕事に影響して生産性を低下させること理解する。従業員のニーズとセキュリティリスクについてバランスの取れたポリシーを設定する
- 自動ソフトウェアパッチやリモートセキュリティソフトウェアインストールと管理、セキュリティソフトウェアの利用などによって、ユーザーに課すことになるセキュリティ上の決定数を最小限に抑える
- パスワードマネジャーや生体認証ベースの二要素認証、シングルサインオンを導入して労力を最小限化してセキュリティを強化する
- ユーザーに到達するセキュリティ関連のメッセージを可能な限り少なく抑える
- 短くて楽しいセキュリティ意識向上トレーニングを実施する
セキュリティを有効に機能させるには従業員が適切に役割を果たす必要があり、そのためには企業文化の育成が必要だとESETは指摘する。企業文化の構築には時間がかかるため、セキュリティ疲れの原因を理解して継続的に取り組むことが大切だ。
関連記事
- 日本企業は「実務>学歴」か? (ISC)2、セキュリティ人材採用に関する調査を公開
(ISC)2が公開したアジア太平洋地域のサイバーセキュリティ人材の採用責任者を対象とした調査レポートから、日本企業のサイバーセキュリティ人材の採用傾向が見えてきた。 - エンジニアの就労ルール「がちがち」と「ゆるゆる」はどう使い分けるか 各社CIOの判断は
技術職の従業員が居心地よくパフォーマンスを発揮しやすい制度はどういったものだろうか。各社のCIOはさまざまな制度や組織運営のルールを試しているようだが「ただ自由にさせる」は正解ではないようだ。 - 「新技術」に振り回されて“燃え尽き”ないために 経営層の理解を得るCISOの立ち回り
近年、CISOには「経営層の理解を得つつ現場のセキュリティ構築を進める」という大きなミッションが与えられています。この中で現場と経営層の板挟みに合い、バーンアウトしてしまうCISOもいることでしょう。「CISOハンドブック」執筆陣の一人、岡田 良太郎氏が語るCISOが取るべき行動とは。 - 経営者が知るべきセキュリティ人材育成の今 ラック西本氏×電大の佐々木氏が語る
ランサムウェア攻撃が高度化する中、自社のセキュリティ体制を強化したいと考える企業も多いはずだが、そのためのセキュリティ人材をなかなか確保できないという現状がある。これを解消するためにはどうすればいいのか。ラック西本氏と東京電機大学の佐々木氏の対談からヒントを見つけていこう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.