アサヒグループホールディングスがロシア系のランサムウエア（身代金要求型ウイルス）集団によるサイバー攻撃を受け、商品の出荷ができなくなるなど、大きな被害となっています。このように、セキュリティリスクというと、高度なサイバー攻撃や外部からの不正アクセスを想像しがちですが、実は「従業員のうっかり行動」から発生するケースが少なくありません。

特にテレワークやクラウドサービスの活用、生成AIの利用が当たり前になった今、セキュリティの脅威は日常の小さな油断に潜んでいます。「これくらい大丈夫だろう」という軽い気持ちが、取り返しのつかない情報漏洩や不正アクセスにつながる可能性があります。

本記事では、「やってはいけない行動」10項目とすぐに実践できる対策を、コントロールソリューションズ社の代表取締役社長・佐々野未知氏に解説していただきました。

1. 不審なメールのリンクをクリックする、添付ファイルを開く

これらはフィッシング詐欺や情報漏洩の典型的手口です。メールを開いた一瞬の油断が、会社の機密情報や個人の口座情報を狙う攻撃につながります。IPA（独立行政法人 情報処理推進機構）が毎年、公表している「情報セキュリティ10大脅威」でも、被害の入口として多く報告されています。

事前に必ず送信元ドメインを確認し、少しでも怪しいと感じたら、公式サイトに直接アクセスするようにしましょう。

2.複数のサービスでパスワードを使い回す

同じパスワードを使いまわすと、一つのサービスからパスワードが漏れた時点で他のアカウントも一気に危険にさらされます。実用的な安全ラインは12文字以上、できれば複数の単語をつないだ「パスフレーズ」がおすすめです。複雑さより長さを優先すると覚えやすく安全性が高まります。

パスワード管理が難しい場合は「1Password」（有料）や「Bitwarden」（無料でも同期可）などのツールを活用しましょう。漏洩が疑われる場合はすぐに変更することが鉄則です。

3.公共Wi-Fiで重要な作業をする

カフェや空港などで提供されているフリーWi-Fiは便利ですが、通信を傍受される可能性があります。特に銀行取引や会社システムへのアクセスは避けるべきです。どうしても必要な場合はVPNを利用するか、携帯回線のテザリングを使いましょう。

4.ソフトウェアのアップデートを先延ばしにする

アップデート（更新）を怠ると、脆弱性を突いた攻撃の格好のターゲットになります。スマートフォンは初期状態で自動アップデートが有効になっている場合もありますが、必ずしもすべての端末で有効とは限りません。OSやアプリの設定を確認し、自動更新が有効になっていなければ手動で設定してください。

PCの場合は、標準のセキュリティ機能や信頼できるセキュリティ対策ソフトを有効にし、OSやアプリを自動更新設定に切り替えてください。自動更新設定にすることで日々の手間を減らしつつ、安全性を高めましょう。

5.会社の機密情報をAIチャットに入力する

ChatGPTなど生成AIに入力した情報は、サービス提供者のシステム上で利用され、管理方法によっては第三者に知られる可能性があります。社内にAI利用のガイドラインがある場合は必ず遵守し、個人利用のAIに機密情報を入力するのは避けてください。

業務で生成AIを活用したい場合は、法人契約の専用AIツールを利用するなど、組織として承認された方法で使いましょう。

6.SNSで詳細な位置情報や予定を投稿する

「今○○にいる」といった投稿は、自宅や勤務先の特定につながる危険があります。リアルタイムでの発信は空き巣被害のリスクにも直結します。写真の位置情報（Exif）を削除したり、プライバシー設定を見直したりなど、日頃から情報管理を意識することが重要です。

7.2段階認証（MFA）を設定しない

強固なパスワードを使っていても、流出や推測のリスクはゼロではありません。2段階認証（MFA：多要素認証）は、パスワードが漏洩した際の「二重ロック」となる、最後の防御ラインです。

SMS認証、認証アプリ、物理セキュリティキーなど、さまざまな方法がありますが、可能な方法で必ず設定しましょう。特に重要なメールアカウントや銀行口座、クラウドストレージなどから優先して設定してください。

8.怪しいアプリをインストールする、不要な権限を許可する

出所不明のアプリはマルウェア感染のリスクがあります。インストールする際は提供元やレビューを確認し、不要になったアプリは定期的に削除してください。スマホの権限設定も見直し、余計な情報を渡さないようにしましょう。

9.AIが生成した情報をそのまま信用して利用する

生成AIは便利なツールですが、事実と異なる情報をもっともらしく出力する「ハルシネーション（誤情報生成）」のリスクがあることを忘れてはいけません。また、生成された文章や画像が著作権を侵害している可能性もゼロではありません。

業務で使用する場合は、必ず複数のソースで事実確認を行い、専門家や上司の意見を参考に検証するプロセスを挟みましょう。

10.拾ったUSBメモリやSDカードを使用する

落ちているUSBメモリを無断で利用すると、マルウェア感染や攻撃の罠である可能性があり、重大なリスクを伴います。出所不明の記録媒体は使用せず、発見した場合は速やかに総務や情報システム部門などの担当部署に報告しましょう。

まとめ：今日から始めるセキュリティ習慣

現代は個人のちょっとしたミスが組織全体の危機に直結する時代であり、特にAI時代の新しいリスクへの対応は急務です。とはいえ、難しく考える必要はありません。まずは自分の手元から、今日できる安全対策を実行することが重要です。

IPAの「中小企業の情報セキュリティ対策ガイドライン」など公的な情報を参考にし、疑問があれば社内のIT部門に確認してみましょう。セキュリティは特別なものではなく、日常の習慣です。

監修者：佐々野未知
公認会計士・税理士・公認システム監査人
コントロールソリューションズ株式会社　代表取締役
監査法人での勤務を経て、現在は経理、税務、内部統制、リスク管理体制に関するコンサルティング会社を経営。執筆活動や講演会、実務セミナーも積極的に行っています。

コントロールソリューションズ株式会社