はじめに ― なぜ今「人」のセキュリティが重要なのか
墨蘭/情報セキュリティマネジメント副専門官「会社のパソコンにはウイルス対策ソフトが入っているから安心」そう思っている方も多いかもしれません。しかし実は、情報漏洩事故の多くは「人」が原因で起きているのです。
どれだけ高性能なセキュリティソフトを導入しても、従業員がフィッシングメールに引っかかってしまったり、大事な書類をカフェに置き忘れてしまったりすれば、情報は簡単に漏れてしまいます。
この記事では、「人的セキュリティ対策」とは何か、なぜ重要なのか、そして具体的にどんな対策を取ればいいのかを、専門知識がない方にもわかりやすく解説します。
人的セキュリティ対策とは?
基本的な意味
人的セキュリティ対策とは、従業員や関係者など「人」が原因で起こる情報セキュリティ上のリスクを防ぐための取り組みのことです。
情報セキュリティ対策は大きく3つに分類されます。
- 技術的対策:ウイルス対策ソフト、ファイアウォール、暗号化など
- 物理的対策:入退室管理、監視カメラ、金庫での書類保管など
- 人的対策:従業員教育、ルール策定、意識向上活動など
この3つ目の「人的対策」が、いわゆる人的セキュリティ対策です。
なぜ「人」に対する対策が必要なのか
日本ネットワークセキュリティ協会の調査によると、情報漏洩の原因は以下のような割合になっています。
- 紛失・置き忘れ:約26%
- 誤操作(メール誤送信など):約25%
- 管理ミス:約12%
- 内部不正:約3%
墨蘭/情報セキュリティマネジメント副専門官つまり、情報漏洩の半分以上は「人的ミス」や「人的要因」によって引き起こされているのです。いくら高度な技術で守っても、それを使う「人」がセキュリティの穴になってしまっては意味がありません。
2025年〜2026年の最新動向
IPAが発表した「情報セキュリティ10大脅威 2026」
2026年1月に発表された最新版では、新たな脅威として「AIの利用をめぐるサイバーリスク」が組織編の3位に初ランクインしました。 また、依然として「内部不正」や「不注意」による情報漏洩も上位にあり、技術が進歩しても「人」に起因するリスクはむしろ多様化していることがわかります。
2026年10月からの新制度
経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」を2026年10月から運用開始する予定です。この制度では、企業のセキュリティ対策レベルを星の数(★3〜★5)で評価します。
重要なのは、この評価では技術的な対策だけでなく、人的な対策も評価対象になるということです。つまり、従業員教育やセキュリティ意識の向上が、ビジネス上の必須条件になりつつあるのです。
AIを悪用した攻撃の「質」が変化
2025年以降、生成AIを活用した攻撃は劇的に高度化しました。かつてのような「怪しい日本語」は姿を消し、文脈まで完全に模倣したメールが届きます。 Microsoftの調査によると、AIで自動生成されたフィッシングメールのクリック率は54%にも達し、従来型(12%)の約4.5倍です。もはや「注意深く見る」だけでは防げない領域に突入しており、組織的な対策が急務となっています。
人的脅威の具体例
うっかりミス(過失)
最も多いのが、悪意のないうっかりミスです。
- メールの誤送信:顧客リストを間違った相手に送ってしまう
- 書類の紛失:電車の中にUSBメモリや書類を置き忘れる
- 設定ミス:クラウドサービスの公開設定を間違えて、誰でも見られる状態にしてしまう
- パスワードの使い回し:同じパスワードを複数サービスで使い、1つ漏れると芋づる式に被害が広がる
内部不正(故意)
残念ながら、意図的に情報を持ち出すケースもあります。
- 退職時の情報持ち出し:転職先で使うために顧客情報を持ち出す
- 不正アクセス:権限を悪用して本来見られない情報にアクセスする
- 情報の売却:金銭目的で機密情報を外部に流出させる
2024年には大手通信会社の子会社で、派遣社員がシステム管理者権限を悪用して約900万件もの個人情報を持ち出す事件が発生しました。このような大規模な内部不正は、企業の存続を脅かすほどの被害をもたらします。
ソーシャルエンジニアリング
技術ではなく、人間の心理的な隙を突いて情報を盗む手口です。
- フィッシング詐欺:本物そっくりの偽メールや偽サイトで情報を入力させる
- なりすまし電話:IT部門を装って「パスワードを教えてください」と聞き出す
- ショルダーハッキング:後ろからパスワード入力を覗き見する
具体的な人的セキュリティ対策
1. セキュリティポリシー(ルール)の策定
まず大切なのは、会社として明確なルールを作ることです。
- 情報の取り扱いルール(持ち出し禁止、暗号化必須など)
- パスワードの管理ルール(桁数、定期変更の是非など)
- 私物デバイスの業務利用ルール
- インシデント発生時の報告フロー
ルールは作るだけでなく、全従業員に周知徹底することが重要です。また、派遣社員やアルバイトを含む全員が対象であることを忘れてはいけません。
2. 従業員教育の実施
知識がなければ、そもそも何が危険かわかりません。定期的な教育によって、以下のような内容を従業員に理解してもらう必要があります。
- フィッシングメールの見分け方
- パスワード管理の重要性
- SNSでの情報発信のリスク
- 情報漏洩が起きた場合の被害の大きさ
- 不審な出来事を発見した際の報告方法
教育は入社時だけでなく、年に1回以上は実施することが推奨されています。また、最新の攻撃手法についても随時共有することが大切です。
3. 標的型攻撃メール訓練
実際の攻撃を模擬した訓練を行うことで、従業員の対応力を測定・向上させることができます。
訓練用の偽メールを送り、リンクをクリックした人には「これは訓練でした。本物だったら危険でした」というフィードバックを行います。繰り返し実施することで、従業員の警戒心を高めることができます。
4. アクセス権限の適切な管理
「最小権限の原則」を守ることが重要です。
- 業務に必要な情報だけにアクセスできるようにする
- 部署異動や退職時は速やかに権限を変更・削除する
- 管理者権限を持つ人は必要最小限にする
特に退職者の権限削除は見落としがちですが、内部不正の温床になりかねないため、確実に実施する必要があります。
5. ログの監視と不正検知
「見られている」という意識が、不正行為の抑止力になります。
- パソコンの操作ログを記録する
- 大量のデータダウンロードなど、異常な行動を検知する仕組みを導入する
- 監視していることを従業員に周知する(過度な監視にならないよう配慮しつつ)
6. 働きやすい職場環境づくり
意外かもしれませんが、職場環境も人的セキュリティに影響します。
- 不満や不公平感が内部不正の動機になることがある
- 相談しやすい雰囲気があれば、ミスを隠さず報告できる
- 従業員のエンゲージメント向上は、結果的にセキュリティ向上にもつながる
ミスを責め立てる職場では、報告隠しが横行します。『心理的安全性』を確保し、ミスを早期に報告した人を評価する仕組みが、結果として大事故を防ぎます。
7. インシデント対応体制の整備
万が一情報漏洩が発生した場合に備えて、対応体制を事前に整えておくことも重要です。
- 緊急連絡網の整備
- 対応チーム(CSIRT)の設置
- 初動対応マニュアルの作成
- 定期的なシミュレーション訓練
迅速に対応できれば、被害を最小限に抑えることができます。
2026年に向けて企業が取るべきアクション
多層防御の考え方
人的セキュリティ対策は、単一の対策では不十分です。複数の層で守る「多層防御」の考え方が重要です。
- 予防層:教育、ルール策定で事故を防ぐ
- 検知層:ログ監視、異常検知で問題を早期発見する
- 対応層:インシデント対応チームで被害を最小化する
- 改善層:事後分析と再発防止で組織を強化する
技術と人の両輪で対策を
攻撃者は常に一番弱いところを狙います。いくら技術的に強固なシステムでも、従業員が不審なメールを開いてしまえば侵入を許してしまいます。
技術的対策と人的対策は、どちらか一方ではなく、両輪で取り組むことが重要です。
まとめ
人的セキュリティ対策とは、従業員など「人」が原因で起こる情報セキュリティリスクを防ぐための取り組みです。
情報漏洩の半分以上は人的要因によって発生しており、AI技術の進歩により攻撃がより巧妙化する中、「人」への対策の重要性は年々増しています。2026年からは企業のセキュリティ対策が取引条件にもなりつつあり、もはや避けて通ることはできません。
具体的な対策としては、ルール策定、従業員教育、訓練、アクセス権限管理、ログ監視、職場環境改善、インシデント対応体制の整備などがあります。これらを組み合わせた多層防御により、人的要因によるリスクを大幅に減らすことができます。
墨蘭/情報セキュリティマネジメント副専門官技術だけに頼るのではなく、「人」を育て、「人」を守る取り組みこそが、これからの情報セキュリティの要となるのです。
コメント