はじめに

今年もわずか2週間となりました。 年末年始は多くの方が長期休暇を取得するかと思われます。

年末年始というシーズンには忘新年会、クリスマス、実家への一時帰省など多くのイベントがあります。
コロナの影響により控える方も多いと思いますが、イベントでは気持ちの緩みが生じる可能性があり、 攻撃者はこの緩みのスキをひそかに狙ってるかもしれません。

以前、システムへの技術的な対策として記事を作成しておりましたが、今回はアナログなセキュリティ対策として、「ソーシャルエンジニアリング」についてお話しさせていただきます。

長期休暇のセキュリティ対策シリーズ（過去記事案内）：
　ここをチェック！長期休暇における情報セキュリティ対策

ソーシャルエンジニアリングとは

技術的なセキュリティ対策や、組織体制のセキュリティ強化を図るのはもちろんのことですが、 最大の脆弱性は「人」と表現されるよう、従業員の不注意により情報漏洩が発生してしまうケースがあります。
この気の緩みや不注意、人為的ミスを狙ったアナログ的な犯罪を「ソーシャルエンジニアリング」と呼ばれ、近年は「ソーシャルエンジニアリング」による被害が増加しているのが現状です。

「ソーシャルエンジニアリング」には以下のような代表的の手法があります。

• 関係者や責任者になりすまし、電話でパスワードなどを聞き出す
• 肩越しに文字入力を見る（ショルダーハッキング）
• ゴミ箱をあさる（トラッシング）
• エレベーターや廊下で盗み聞きをする

参考：総務省ソーシャルエンジニアリングの対策

ソーシャルエンジニアリングへの対策

「ソーシャルエンジニアリング」への対策例を以下に挙げてみたいと思います。

年末の大掃除で捨てる書類や記録媒体に注意

• 書類を廃棄する際は、シュレッダーにかけたり溶解処理を行い解読、復元不可能にする
• HDDやUPBなどの記録媒体を廃棄する際は、物理的に破壊し復元不可能にする
• 廃棄に時間がかかる際は、廃棄対象物を施錠できる場所で保管する

挨拶回り、飲み会など恒例行事での行動や発言に注意

• 公の場所で仕事内容（機密情報）の会話をしない
• 電話で機密情報を伝えないことを意識づける
• 飲み会や帰路で鞄やスマートフォンなどの忘れ物に注意する

オフィス外での作業に注意

• 書類や記録媒体を社外に持ち出す際は、取り扱いに注意する
• オフィスの中でも、パソコンやスマートフォンで重要な情報を入力するときは周りに注意する
• 接続するネットワークは、覗かれないネットワークであることに注意する

おわりに

以上、多くのセキュリティ脅威に備えるために、ソーシャルエンジニアリングの手法と対策についてご案内しましたが、いかがでしたでしょうか。

組織におけるセキュリティ対策として、社員はもちろん、契約社員やパート社員として会社に関わるメンバーへのセキュリティ教育を実施し、誰もが注意して行動できることが肝心です。
よい年末年始を過ごすためにも、ぜひ社内で「ソーシャルエンジニアリング」というアナログ犯罪への注意および対策の見直しを行いましょう。