訪問看護をはじめとした介護事業所では、利用者の重大な個人情報を扱います。
今回は情報漏洩の盲点ともなり得る「ソーシャルエンジニアリング」について解説します。
ソーシャルエンジニアリングとは、技術的な知識やスキルを用いずに、人の心理的な隙や行動のミスにつけ込んで機密情報を不正に入手する手法のことです。
人間の心理的な脆弱性を悪用することから、「人をだます技術」とも言えます。
ソーシャルエンジニアリングの例
ソーシャルエンジニアリングの手法は多岐に渡りますが、代表的なものとしては以下のようなものが挙げられます。
● なりすまし
ターゲットとする人物や組織の関係者を装い、信用させて情報を聞き出す手法です。
電話やメール、対面など、様々な手段で実行されます。例えば、IT部門の担当者を装ってパスワードを聞き出したり、宅配業者を装って社内に侵入したりするケースがあります。
●フィッシング
偽のWebサイトやメールを使って、IDやパスワード、クレジットカード情報などの個人情報を詐取する手法です。
実在する企業やサービスを装うことで、ターゲットを油断させます。
例えば、銀行を装ったメールで偽のログインページに誘導し、情報を入力させるケースがあります。
●盗み見(ショルダーハッキング)
背後からターゲットの画面やキーボード操作を盗み見る手法です。
公共の場やオフィスなどで、ターゲットが入力しているパスワードや機密情報などを盗み見ます。
●トラッシング
ゴミ箱に捨てられた書類やメディアから、機密情報を入手する手法です。
企業や個人のゴミ箱には、機密情報が記載された書類や、個人情報が記録されたCD-ROMなどが捨てられていることがあります。
●プリテキスティング
事前に用意したシナリオ(口実)に沿ってターゲットに近づき、信用させて情報を聞き出す手法です。
例えば、アンケート調査員を装って個人情報を聞き出したり、困っている人を装って親切心につけ込んだりするケースがあります。
ソーシャルエンジニアリングの対策
ソーシャルエンジニアリングは、技術的な対策だけでは防ぐことが難しいため、従業員一人ひとりの意識向上が重要になります。以下に、主な対策を挙げます。
・セキュリティ教育・訓練
従業員に対して、ソーシャルエンジニアリングの手法や対策に関する教育・訓練を定期的に実施し、セキュリティ意識を高めることが重要です。
・ID・パスワードの管理徹底
ID・パスワードは、使い回しを避け、複雑なものを設定し、定期的に変更することが重要です。
また、ID・パスワードを人に教えたり、メモに残したりしないように徹底する必要があります。
・不審な人物・メールへの警戒
身元不明な人物からの電話やメール、訪問には警戒し、安易に個人情報や機密情報を教えないようにすることが重要です。
不審なWebサイトやメールにアクセスしない、添付ファイルを開かないなども重要です。
・情報持ち出しの制限
機密情報や個人情報が含まれる書類やメディアの持ち出しを制限し、紛失や盗難のリスクを減らすことが重要です。
・ゴミ箱の管理
機密情報や個人情報が含まれる書類は、シュレッダーにかけるなどして、適切に処分することが重要です。まとめ
ソーシャルエンジニアリングは、人間の心理的な隙や行動のミスにつけ込む巧妙な手法であり、技術的な対策だけでは防ぎきれません。
特に介護事業所の場合、忙しいゆえに管理が杜撰になりがちです。
従業員一人ひとりがセキュリティ意識を高め、適切な対策を講じることが重要です。
皆様の事業所でも、こういった内容の研修を行うなどして意識啓発に尽力されてはいかがでしょうか。