自治体や公的機関を取り巻くサイバー攻撃の脅威は、年々巧妙化しています。
本連載では、全15回にわたり、現場の職員が今日から実践できる情報セキュリティの基礎知識を解説します。
本連載について
本連載は、現在STORESで販売中の『自治体・公的機関向け 情報セキュリティ研修動画パッケージ』の講義内容を全編書き起こしたものです。
研修の導入をご検討中の担当者様は、内容の確認用としてご活用ください。
講義8:SNS利用と情報漏洩の落とし穴
最後は、仕事中だけでなく、家に帰ってからの時間も関わってくる「SNS」のお話です。
「個人のSNSに何を書こうが自由だ」と思うかもしれませんが、攻撃者は皆さんの投稿を「無料の百科事典」のように利用しています。
パズルのピースを揃える犯人の心理
犯人は、一通の巧妙な嘘メールを作るために、あなたの投稿をパズルのように組み合わせます。
- 「今日は新しいプロジェクトのキックオフ!」という投稿から、担当プロジェクトを特定。
- 「デスクで差し入れのケーキ!」という写真。その背景に、ホワイトボードの「会議予定」や、モニターに映った「社内の専用システムの画面」が写り込んでいないか。
- 「〇〇駅前の居酒屋で打ち上げ!」という投稿から、あなたが今オフィスにいないこと、そしてよく行く店を特定。
これらが組み合わさると、犯人は「〇〇プロジェクト担当の皆さんへ、先ほどの打ち上げの件で……」といった、完璧な偽メールを作れてしまうのです。
【チェックポイント】投稿前の「3秒ルール」
SNSを楽しむ上で、今日からこれだけは守ってください。
写真を撮ったら、投稿ボタンを押す前に「背景を拡大して3秒間見る」。
そこに従業員の顔、IDカード、付箋、ホワイトボード、モニター、あるいは窓の外の景色から場所が特定できないか。
また、仕事の愚痴や「〇〇システムが使いにくい」といった書き込みも厳禁です。
犯人に「この組織はあのシステムを使っているのか、あそこの脆弱性を突けば入れるな」とヒントを与えることになります。
インターネットという場所は、全世界と繋がっている「公道」です。
皆さんの何気ない日常が、組織への「攻撃の招待状」にならないよう、プロの職員としての意識を、ネットの世界でも持ち続けていただきたいと思います。
⇒講義9:クラウドサービス(SaaS)利用時の注意点
今回の記事(第8回)の内容を含め、全15回の講義を収録した「研修用動画パッケージ」を販売しています。
・資料作成や登壇の準備をゼロにしたい
・専門家による正確な情報を職員に届けたい
・研修の配布用スライドPDFも手に入れたい
そんな方は、ぜひ以下の販売ページをご確認ください。
また、クラウド認証ドットコムでは、 個別の情報セキュリティ研修(オンライン・対面) での教育支援を行っています。
「自庁の独自ルールを盛り込みたい」「職員の理解度を直接確認したい」といったご要望にお応えします。
専門講師が貴組織の課題に合わせたカリキュラムで登壇いたします。
■ 自治体職員向けセキュリティ研修:連載一覧(全15回)
- 講義1:オリエンテーションと本コースのゴール
- 講義2:自治体・企業を狙う最新の脅威
- 講義3:「信頼できるサービス」を見分ける重要性
- 講義4:CIA(機密性・完全性・可用性)を簡単に理解する
- 講義5:職員一人ひとりが「最大の防御壁」であり「最大の弱点」
- 講義6:メール・標的型攻撃の巧妙な手口
- 講義7:パスワード管理と多要素認証(MFA)
- 講義8:SNS利用と情報漏洩の落とし穴
- 講義9:クラウドサービス(SaaS)利用時の注意点
- 講義10:公共のWi-Fiと持ち出しPCのセキュリティ
- 講義11:【ステップアップ】政府や自治体が認めるクラウドの基準とは?
- 講義12:違和感に気づいたら?初動対応の鉄則
- 講義13:報告ルートの確認と演習
- 講義14:本コースの振り返り
- 講義15:これだけは守ってほしい「5つの約束」
