【2025年版】管理職が知っておくべきサイバーセキュリティに関する間違い5選

古く時代遅れのソフトウェアに固執している企業は、いまだに後を絶ちません。

もしあなたが従業員を部下に持つマネージャーなら、サイバーセキュリティは最優先事項であるべきです。彼らは最前線で毎日フィッシング詐欺やマルウェア攻撃に立ち向かっています。

進化が続く現代のデジタル社会では、ご自身の会社を無防備な状態にする可能性のある、初歩的なミスがたくさんあります。本記事で取り上げる5つの大きなミスについて認識し、それらを犯していないことを確認しましょう。

1. サイバーセキュリティに関する社員教育の怠慢

管理職ができる最も重要な取り組みの1つは、サイバーセキュリティについて部下を教育することです。これは、従業員が直面するリスクとその軽減方法を理解することを意味します。

従業員を脅かすのではなく、自分自身と会社をサイバー脅威から守る方法を知ってもらうのです。これには、最新のハッキング技術や、それがどのように企業を標的にするのか、ランサムウェアの仕組み、フィッシング（ハッカーがデータを盗もうとする際によく使う手口）の回避方法などを理解することが含まれます。

もしこの話題についていけないと感じているのであれば、以下の動画から始めてみてはいかがでしょうか？

IT担当部門に、全従業員がアクセスできるサイバーセキュリティ研修プログラムの作成を依頼することもできるでしょう。これにより、全員が最新の脅威を把握し、何か起こった場合にどうすればよいかを知ることができます。さらに、万が一問題が発生した場合に、従業員がパニックに陥るのを防ぐことも可能です。

2. 古いハードウェアを使用し、ソフトウェアのアップデートを行わない

従業員が古いハードウェアやソフトウェアを使用している場合、ビジネスを危険にさらす可能性があります。例えば、従業員がWindows 7を搭載したコンピュータを使っている場合、そのバージョン用のセキュリティパッチはリリースされていません。つまり、ハッカーがソフトウェアに存在するかもしれないバグを簡単に悪用できる可能性があるのです。

ネットワーク上に古いソフトウェアを搭載したコンピュータを置きたくはないはずです。マルウェア感染やその他のセキュリティ侵害のリスクが高まります。可能であれば、最新のハードウェアとソフトウェアを従業員に提供すべきです。 

大企業を経営している場合、社内のすべてのコンピューターを入れ替えることは不可能かもしれません。しかし、IT部門がコンピュータを安全に保つための努力を怠らないようにすることはできるはずです。セキュリティパッチをインストールし、ウイルス対策ソフトウェアを定期的に更新しましょう。

3. 強力でユニークなパスワードを使わない

従業員には、会社を危険にさらすような習慣があるかもしれません。例えば、パスワードの変更を拒むなど、私生活で身についた癖がある社員がいる可能性もあります。あるいは、推測されやすいパスワードを使っている場合も考えられます。

サイバー犯罪者は、多くの人が定期的にパスワードを変更しないことを知っているため、同じパスワードを使っている人を標的にしようとします。従業員のアカウントにアクセスされると、それを使って他の多くのアカウントにアクセスしようとします。このようなことが起こることは避けたいものです。

従業員全員が強固でユニークなパスワードを使うようにしましょう。パスワード生成ツールのようなものを使って、完全にランダム化するのが理想的です。そして、アカウントには2要素認証（2FA）を導入することを検討しましょう。これは、従業員がログインする際に一意のコードとパスワードを入力しなければならないことを意味します。2FAは、ハッカーがアカウントに侵入するのをはるかに難しくします。

4. 機密データを暗号化せずにクラウドに保存する

ストレージにクラウドを利用している場合、従業員が機密データをクラウドに保存しているかもしれません。これは顧客やパートナーと書類を共有するのに便利ですが、情報の安全性も確保しなければなりません。Internxtのように、データを暗号化できるクラウドプロバイダーもあります。 

機密データを暗号化せずにクラウドに保存している場合、ビジネスを危険にさらす可能性があります。ハッカーがクラウドアカウントに侵入すれば、そのデータにアクセスする恐れが出てきます。これはSaaSビジネスに非常に関連しており、SaaSにおける管理上の課題の1つとして挙げられます。侵入された場合、ビジネスに深刻な財務的影響や風評被害をもたらすことにもなりかねません。

機密データを暗号化してクラウドに保存していることを確認しましょう。そうすれば、たとえハッカーがアカウントに侵入したとしても、データを読み取ることはできません。プロバイダーによっては、データを暗号化した方が料金が安くなるところもあります。つまり、暗号化を利用しないよりも利用した方が安くなる可能性があるのです。

5. 侵害やインシデントを検出するプロセスがない

サイバーセキュリティに関するもう一つの典型的な過ちは、侵害やインシデントを検出するためのプロセスが整備されていないことです。安全でないコンピュータからログインしている従業員がいる可能性があります。あるいは、マルウェア、ウイルス、または侵害につながる可能性のあるその他のプログラムがインストールされたコンピュータがあるかもしれません。手遅れになるまで、何かが間違っていることに気づかないこともあるでしょう。

従業員が誤って機密資料を間違った相手と共有してしまうかもしれません。あるいは、機密情報をうっかり間違った相手に送ってしまう人が出てくることもありでしょう。データを改ざんする社員がいたり、別の悪意のある社員が誰かに濡れ衣を着せようとしているかもしれません。こうしたことを見逃したくはありません。

可能な限り迅速に事態を解決できるよう、備えを万全にしておきたいものです。そのためには、新しいコンピューターがネットワークに追加されたとか、いつもと違うIPアドレスから誰かがログインしてきたなど、注意すべきイベントのリストを作成するとよいでしょう。

オンラインで会社を守りながら従業員を管理しましょう

最後に、サイバーセキュリティのミスからビジネスを守りたい一方で、厳しすぎる文化を作りたくはありません。従業員がミスを恐れるあまり、一切の行動を起こさなくなることは避けたいところです。

その代わりに、従業員がサイバーセキュリティについて学べるリソースを提供することを徹底しましょう。また、分からないことがあれば質問するように促しましょう。また、従業員がオンラインで身を守るために必要なツールを提供することもできます。パスワードマネージャーは、サイバーセキュリティの脅威からチームを守るために利用できる最善のツールの1つです。また、アンチウイルスソフトウェア、ウイルススキャナー、パスワード強度チェッカー、フィッシングの試みを回避するためのアドオンなどのセキュリティ・
サービスも検討してください。 

サイバーセキュリティの過ちから会社を守るためには、リスクを認識し、そのリスクが現実の問題にならないようにする努力をすることが必要不可欠です。