内田勝也
「セキュリティ文化」を醸成する研修、組織的・実践的・継続的がカギに
当連載では、これまでに標的型メール攻撃などのセキュリティリスクから、自社を守るための適切な教育・訓練やその効果の測定方法について説明してきた。今回は、受講者の立場から考えた、セキュリティ心理学に基づくセキュリティ教育・訓練の概要と実施結果を紹介する。

会社をサイバー攻撃から守る情報収集術、地政学的なリスクにも配慮を
年々、高度化するサイバー攻撃から企業や組織を守るため、セキュリティ担当者にとって重要なのが情報収集だろう。情報セキュリティ大学院大学の内田勝也名誉教授が、サイバーセキュリティ対策の情報収集の考え方について解説する。

「標的型メール攻撃」による情報漏洩を防ぐ方法、クリック率を下げるだけではダメ!
近年増加している標的型メール攻撃による情報漏洩。この最大の要因は、高度なサイバー攻撃や避けようのないウイルス感染ではなく、「ヒューマンエラー」だ。では、ヒューマンエラーを防ぐために、どのような教育・訓練を従業員に行うべきか。

誘導質問で気づかぬ間に情報漏洩、人間の弱さを突くソーシャルエンジニアリングの怖さ
情報漏洩を引き起こすのは、高度なサイバー攻撃やウイルス感染と思い込んでいないだろうか。実際は、古典的でアナログな、人間の心理的な隙や行動のミスを突く「ソーシャルエンジニアリング」こそ、多くの企業や個人が注意すべき情報漏洩の手法だ。

情報漏洩の最大原因「ヒューマンエラー」が注意力や複数人チェックでは防げない理由
情報漏洩の大半は、高度なサイバー攻撃による避けようのないウイルス感染ではなく、ヒューマンエラーに原因があると言われている。これには担当者個人の注意力のなさややる気のなさにばかり批判が集まりがちだ。しかし本来は、「組織」の問題として取り組むべきだ。

情報セキュリティ対策は情シスではなく、経営企画や総務が取り組むべき理由
情報セキュリティ対策は、情報システム部門の課題と捉えていないだろうか。情報セキュリティ大学院大学の内田勝也名誉教授は、「情報セキュリティ対策は、危機管理やリスクマネジメントの一つと捉えて、『経営問題』として取り組むべき」と断言する。
