社員のセキュリティ意識が低い会社に起きた実際の被害3選

「うちの社員はそんなことしないよ」

セキュリティ研修の必要性をお伝えすると、こういった反応が返ってくることがあります。でも、以下の事例を読んでも同じことが言えますか？

事例① 添付ファイルを開いてランサムウェア感染

製造業の中小企業（従業員30名）。取引先を装ったメールの添付ファイルを経理担当者が開封。

社内サーバーのすべてのファイルが暗号化され、3日間業務停止。バックアップもネットワーク上にあったため一緒に暗号化され、身代金300万円を要求された。

原因：不審なメールの見分け方を教育していなかった。

事例② パスワードの使い回しで顧客データ流出

小売業のECサイト運営会社（従業員10名）。

従業員がECサイトの管理者パスワードを、以前流出した別サービスと同じものを使っていた。攻撃者はその流出データを使ってログインし、顧客の個人情報2,000件を抜き取った。

その後、顧客へのお詫びと対応費用に数百万円の出費。

原因：パスワード管理のルールが社内になかった。

事例③ テレワーク中に業務データを個人クラウドに保存

IT系企業（従業員20名）。

テレワーク中の社員が「使いやすいから」と業務データを個人のDropboxアカウントに保存。その後、そのDropboxアカウントがフィッシングで乗っ取られ、取引先の機密情報が流出。

原因：テレワーク時のルールが明確でなかった。

共通する問題点

3つの事例に共通するのは、「社員が悪意を持っていたわけではない」ということです。知識がなかっただけです。

知識はトレーニングで身につきます。

半日の座学研修と、実際にフィッシングメールを体験するフィッシング訓練——この2つだけで、多くの事例は防げたはずです。

社員教育に興味のある方は、まずLINEでご相談ください。会社の規模や状況に合わせたプログラムをご提案します。