【無料相談可】情報セキュリティ研修のご案内はこちら

【連載 第3回】自治体職員のための情報セキュリティ研修:なぜ今、公的機関が狙われるのか?

セキュリティガイド

自治体や公的機関を取り巻くサイバー攻撃の脅威は、年々巧妙化しています。

本連載では、全15回にわたり、現場の職員が今日から実践できる情報セキュリティの基礎知識を解説します。

本連載について

本連載は、現在STORESで販売中の『自治体・公的機関向け 情報セキュリティ研修動画パッケージ』の講義内容を全編書き起こしたものです。

研修の導入をご検討中の担当者様は、内容の確認用としてご活用ください。

[→ 動画パッケージの詳細・販売ページはこちら(STORES)]

講義3:「信頼できるサービス」を見分ける重要性

皆さん、お疲れ様です。

講義2では、私たちを狙う恐ろしいサイバー攻撃の現状についてお話ししました。

「そんなに攻撃が巧妙なら、どうやって身を守ればいいの?」と不安になった方もいるかもしれません。

その答えの一つが、「最初から、国や国際基準が認めた『信頼できるサービス』を使うこと」です。

皆さんは普段、スーパーで食材を買うとき、無意識に「産地」を確認したり、「JASマーク」のような安全の印を探したりしませんか?

あるいは、電化製品を買うときに「PSEマーク」がついているか確認することもあるでしょう。

それと同じことが、実はインターネットの世界、特に「クラウドサービス」にもあるんです。

なぜ「便利」だけではダメなのか

仕事をもっと効率化したいと思って、個人で使っている便利な無料アプリや、ネットで見つけた翻訳サイトを「これ、いいな」と業務に使いたくなることがあるかもしれません。

いわゆる「シャドーIT」と呼ばれる行為です。

でも、そこには大きな落とし穴があります。

そのサービスを作っている会社が、預かったデータをどう管理しているのか。

悪意のある第三者に盗まれないような対策をしているのか。

それを私たちが一つひとつ、個人の力で確かめるのは不可能です。

もし、セキュリティが甘いサービスに業務データを入力してしまったら、その瞬間に情報漏洩が始まってしまうかもしれません。

専門家がチェックする「安全の印」

そこで登場するのが、「ISMAP(イスマップ)」や「ISO27017(アイエスオー27017)」といった、少し難しい名前の認証制度です。

これらを一言で言うと、「厳しい試験をパスした、お墨付きのサービス」のことです。

  • ISMAP(イスマップ): これは日本政府が作った制度です。「政府が使っても安心ですよ」と認めたサービスだけが載れる、いわば「ホワイトリスト」のようなものです。
  • ISO27017: こちらは世界共通のルールです。クラウド特有のリスク(例えば、他の利用者のデータと混ざらないか、など)に対して、しっかり対策をしていることを証明するマークです。

これらのマークを取得するためには、企業の裏側で何百もの厳しいチェック項目をクリアし、莫大な手間とコストをかけてセキュリティを維持し続ける必要があります。

私たちができること

「そんな難しいことはIT部門に任せておけばいい」と思うかもしれません。

確かに、どのツールを導入するか決めるのは組織の判断です。

ですが、皆さんに知っておいてほしいのは、「組織が『これを使ってください』と指定しているツールには、必ず理由がある」ということです。

皆さんの組織のIT担当者は、皆さんの仕事の効率と、組織の安全を天秤にかけ、ISMAPなどの基準を確認した上で、必死に「安全な入り口」を整えています。

今日から意識していただきたいのは、この一点です。

「仕事のデータは、組織が認めた『信頼できる場所』から一歩も外に出さない」

これだけで、講義2でお話ししたような恐ろしい攻撃の多くを、入り口でシャットアウトすることができるんです。

さて、セクション1では「なぜセキュリティが重要か」という心構えをお話ししてきました。

次のセクションからは、いよいよ具体的に「何を守るべきなのか」、情報セキュリティの基本的な考え方に入っていきます。

講義4:CIA(機密性・完全性・可用性)を簡単に理解する(近日公開)

研修担当者様へ:この内容をそのまま動画で流せます

今回の記事(第3回)の内容を含め、全15回の講義を収録した「研修用動画パッケージ」を販売しています。

・資料作成や登壇の準備をゼロにしたい
・専門家による正確な情報を職員に届けたい
・研修の配布用スライドPDFも手に入れたい

そんな方は、ぜひ以下の販売ページをご確認ください。

商品ページを見る(STORES)

また、クラウド認証ドットコムでは、 個別の情報セキュリティ研修(オンライン・対面) での教育支援を行っています。

オーダーメイド個別研修(オンライン・対面)

「自庁の独自ルールを盛り込みたい」「職員の理解度を直接確認したい」といったご要望にお応えします。
専門講師が貴組織の課題に合わせたカリキュラムで登壇いたします。

詳細・お見積りはこちら

■ 自治体職員向けセキュリティ研修:連載一覧(全15回)

  • 講義1:オリエンテーションと本コースのゴール
  • 講義2:自治体・企業を狙う最新の脅威
  • 講義3:「信頼できるサービス」を見分ける重要性
  • 講義4:CIA(機密性・完全性・可用性)を簡単に理解する
  • 講義5:職員一人ひとりが「最大の防御壁」であり「最大の弱点」
  • 講義6:メール・標的型攻撃の巧妙な手口
  • 講義7:パスワード管理と多要素認証(MFA)
  • 講義8:SNS利用と情報漏洩の落とし穴
  • 講義9:クラウドサービス(SaaS)利用時の注意点
  • 講義10:公共のWi-Fiと持ち出しPCのセキュリティ
  • 講義11:【ステップアップ】政府や自治体が認めるクラウドの基準とは?
  • 講義12:違和感に気づいたら?初動対応の鉄則
  • 講義13:報告ルートの確認と演習
  • 講義14:本コースの振り返り
  • 講義15:これだけは守ってほしい「5つの約束」
タイトルとURLをコピーしました