組織の情報セキュリティレベルを上げるためには、セキュリティ向上のためのツールやサービスの導入、ルールの厳格化などが必要と思われている方も多いのではないでしょうか。
この考えはもちろん間違えではありませんし、リスクによっては検討すべき事項です。ただ、「ツールを導入したりルールを厳格化したのにインシデントの発生件数があまり下がらない」「すでにとれる対策はしたのにあまり効果が見られない」といったことはないでしょうか。

それはもしかすると、従業者のセキュリティリテラシーに課題があるのかもしれません。

そこで今回は、従業者のセキュリティリテラシーをテーマに、以下のポイントをご紹介します。

ポイント!

  • 組織のセキュリティレベルと従業者のセキュリティリテラシーの関係性
  • 従業者のセキュリティリテラシーを向上させる方法3選

従業者のセキュリティリテラシーが低いと組織の情報セキュリティレベルは上がらない?

インシデントと聞くと、サイバー攻撃や不正アクセスといった外部の悪意を持った人によるインパクトのある攻撃をイメージしますが、メールの誤送信やPCの紛失、情報の誤掲載などの従業者によるミスも含まれます。不審なメールの開封や不審なサイトへのアクセスによるウイルス感染なども従業者のミスによるインシデントといえるでしょう。

つまり、従業者の意識そのものが組織の情報セキュリティのレベルに深く関わっており、従業者のセキュリティリテラシーを向上させることが、組織の情報セキュリティレベル向上につながると言えます。

従業者のセキュリティリテラシーを向上させる方法

この章では従業者のセキュリティリテラシーを向上させるための方法を3つ紹介していきます。

全てに共通して意識していただきたいのは「定期的に行う」ことです。
定期的という意味では年1回でも問題ではないのですが、年1回だけ情報セキュリティについて触れる機会を作っても従業者からするとあまり身近には感じられない可能性が高いです。
そこで、四半期に一回やできることなら月1回など従業者にとって情報セキュリティが身近になるレベルの頻度で行うことで効果は高まっていきます。

情報セキュリティ教育を実施する

eラーニングや集合研修などの方法で従業者教育を行うというものです。この方法は、ISMSの運用を行っていると取り組みの中で自然と行っているという組織も多いのではないでしょうか。そのため、多くの組織では現在行っていることを流用できるため実施しやすいかもしれません。

【ポイント!】
1. 頻度を上げてみる

基本的には年1回実施するという組織が多いと思います。やはりその場合だと、従業者に情報セキュリティの意識が浸透しづらいので、もう少し頻度を上げて半年に一回や四半期に一回など行うことで、従業者にとって情報セキュリティがより身近になりリテラシーの向上も期待できるでしょう。
頻度を上げる場合には、eラーニングの導入や動画配信など、場所や時間を選ばず実施できる方法を導入することが望ましいです。

2. 集合研修とeラーニングを組み合わせる

ひとつめに挙げた実施頻度を上げるという方法は基本的には良いのですが、eラーニングだけだと合格するためだけに惰性で行う人も出てきてしまうかもしれません。そこで、基本はeラーニングなどで行いつつ半年や年1回は集合研修を行い、グループワークなど主体的に学ぶ場を作る、といった合わせ技で従業者の情報セキュリティリテラシーをより向上させ、身近なものにすることができるのではないでしょうか。

情報セキュリティ関連情報をチャットで共有する

チャット上でその時々に発生している情報セキュリティニュースや気になる話題を発信するという方法です。教育だけでは、どうしても他人事のように感じる方もいると思います。そのような場合には、実際のインシデントニュースや脅威についての情報を発信することで、従業者にとって身近に感じてもらったり、注意力の向上を促すことができるでしょう。まずは、情報セキュリティ管理者や担当者が発信していくという形が実施しやすいのではないでしょうか。

【ポイント!】
1. 情報セキュリティ関連情報の発信サイトとチャットを連携させる

情報セキュリティ管理者や担当者が発信する情報を探したり、ピックアップするのは難しいといったケースもあるかもしれません。その場合には、IPAJPCERT/CCのような情報セキュリティの専門機関やニュースサイトとRSS連携(利用者がWebブラウザで各サイトを回らなくても、購読しているサイトの更新情報をリアルタイムにチェックすることができる機能)を行うなどして、新たな情報が発信され次第、チャットにも共有される仕組みを作ると、工数の削減にもつながり、良いのではないでしょうか。

2. 従業者同士で双方向型にやり取りできるチャットルームにする

従業者の皆さんの情報セキュリティ意識が高まってきたら、情報セキュリティ管理者や担当者が一方的に発信するのではなく、従業者の方でも気になったニュースや情報があれば発信し、その発信に対し自由にコメントできるといった双方向性のチャットルームを作成してみてはいかがでしょうか。
実は、LRMでも、情報セキュリティに関するニュースを自由に投稿できるチャットルームが存在しており、各従業者が気になったニュースがあれば随時投稿やコメントしています。
この方法は従業者が情報セキュリティに関する情報を積極的に探したり、多角的な意見を得る場としても有効的なものです。

朝会などでmyセキュリティニュースを共有する

これまで上げてきた二つの方法はレベルアップしていく段階として非常に有効なものです。しかし、チャットでの共有などはするもしないも自由というところがあるため、従業者間で積極性やレベルの差が生まれてしまうかもしれません。
この方法は、1分間スピーチのような形で持ち回りで、最近気になったセキュリティニュースをそれぞれの従業者が発表していくというものです。
発表するという過程が必要になるため、従業者自身がしっかりそのニュースを理解する必要が発生します。大変な作業にはなりますが、その分従業者にとっては最も情報セキュリティリテラシーが向上する方法ともいえるでしょう。

【ポイント!】
1. 従業者の意思を尊重して行う

今回の記事で挙げたほかの方法とは異なり従業者の主体性が必要になる取り組みです。もしかすると従業者の方があまり前向きではなく、どういったことを拾っていけばいいかわからない、といった問題も発生するかもしれません。
セキュリティリテラシー向上のために、チームの空気が悪くなるといったことがあってはなりませんので、導入してみて意味のあるものになるかどうか検証したうえで、本格導入することをおすすめします。

2. 従業者の情報セキュリティリテラシーが上がってきたところで取り入れる

この方法が実施できるということは従業者にある程度セキュリティリテラシーがあるからということもできます。つまり、あまりセキュリティリテラシーが向上していない段階で取り入れてしまうと、時間の浪費で終わってしまう可能性も否めません。
そこで、今回紹介した教育やチャットでのニュース共有などほかの方法でセキュリティリテラシーがある程度上がった段階で取り入れるなど、組織のレベル感を見ながら導入することで効果の高いものになるのではないでしょうか。

まとめ

今回は、「従業者のセキュリティリテラシー向上が組織の情報セキュリティレベルを上げるための鍵である」ということをテーマに、従業者のセキュリティリテラシー向上に役立つ方法3選を紹介してきました。

今回紹介した方法は、新たにツールなどを導入せずともすぐに取り入れることが可能なものばかりです。
いろいろセキュリティ対策しているのに何故かインシデントが発生する、従業者のミスがけっこう目立つ、といった悩みをお持ちの組織は、ぜひ取り入れて従業者のセキュリティリテラシー向上を図ってみてはいかがでしょうか?

組織の情報セキュリティレベル向上には「従業者のセキュリティリテラシー向上」が鍵!

組織の情報セキュリティレベルを上げるためには、セキュリティ向上のためのツールやサービスの導入、ルールの厳格化などが必要と思われている方も多いのではないでしょうか。
この考えはもちろん間違えではありませんし、リスクによっては検討すべき事項です。ただ、「ツールを導入したりルールを厳格化したのにインシデントの発生件数があまり下がらない」「すでにとれる対策はしたのにあまり効果が見られない」といったことはないでしょうか。

それはもしかすると、従業者のセキュリティリテラシーに課題があるのかもしれません。

そこで今回は、従業者のセキュリティリテラシーをテーマに、以下のポイントをご紹介します。

ポイント!

  • 組織のセキュリティレベルと従業者のセキュリティリテラシーの関係性
  • 従業者のセキュリティリテラシーを向上させる方法3選

従業者のセキュリティリテラシーが低いと組織の情報セキュリティレベルは上がらない?

インシデントと聞くと、サイバー攻撃や不正アクセスといった外部の悪意を持った人によるインパクトのある攻撃をイメージしますが、メールの誤送信やPCの紛失、情報の誤掲載などの従業者によるミスも含まれます。不審なメールの開封や不審なサイトへのアクセスによるウイルス感染なども従業者のミスによるインシデントといえるでしょう。

つまり、従業者の意識そのものが組織の情報セキュリティのレベルに深く関わっており、従業者のセキュリティリテラシーを向上させることが、組織の情報セキュリティレベル向上につながると言えます。

従業者のセキュリティリテラシーを向上させる方法

この章では従業者のセキュリティリテラシーを向上させるための方法を3つ紹介していきます。

全てに共通して意識していただきたいのは「定期的に行う」ことです。
定期的という意味では年1回でも問題ではないのですが、年1回だけ情報セキュリティについて触れる機会を作っても従業者からするとあまり身近には感じられない可能性が高いです。
そこで、四半期に一回やできることなら月1回など従業者にとって情報セキュリティが身近になるレベルの頻度で行うことで効果は高まっていきます。

情報セキュリティ教育を実施する

eラーニングや集合研修などの方法で従業者教育を行うというものです。この方法は、ISMSの運用を行っていると取り組みの中で自然と行っているという組織も多いのではないでしょうか。そのため、多くの組織では現在行っていることを流用できるため実施しやすいかもしれません。

【ポイント!】
1. 頻度を上げてみる

基本的には年1回実施するという組織が多いと思います。やはりその場合だと、従業者に情報セキュリティの意識が浸透しづらいので、もう少し頻度を上げて半年に一回や四半期に一回など行うことで、従業者にとって情報セキュリティがより身近になりリテラシーの向上も期待できるでしょう。
頻度を上げる場合には、eラーニングの導入や動画配信など、場所や時間を選ばず実施できる方法を導入することが望ましいです。

2. 集合研修とeラーニングを組み合わせる

ひとつめに挙げた実施頻度を上げるという方法は基本的には良いのですが、eラーニングだけだと合格するためだけに惰性で行う人も出てきてしまうかもしれません。そこで、基本はeラーニングなどで行いつつ半年や年1回は集合研修を行い、グループワークなど主体的に学ぶ場を作る、といった合わせ技で従業者の情報セキュリティリテラシーをより向上させ、身近なものにすることができるのではないでしょうか。

情報セキュリティ関連情報をチャットで共有する

チャット上でその時々に発生している情報セキュリティニュースや気になる話題を発信するという方法です。教育だけでは、どうしても他人事のように感じる方もいると思います。そのような場合には、実際のインシデントニュースや脅威についての情報を発信することで、従業者にとって身近に感じてもらったり、注意力の向上を促すことができるでしょう。まずは、情報セキュリティ管理者や担当者が発信していくという形が実施しやすいのではないでしょうか。

【ポイント!】
1. 情報セキュリティ関連情報の発信サイトとチャットを連携させる

情報セキュリティ管理者や担当者が発信する情報を探したり、ピックアップするのは難しいといったケースもあるかもしれません。その場合には、IPAJPCERT/CCのような情報セキュリティの専門機関やニュースサイトとRSS連携(利用者がWebブラウザで各サイトを回らなくても、購読しているサイトの更新情報をリアルタイムにチェックすることができる機能)を行うなどして、新たな情報が発信され次第、チャットにも共有される仕組みを作ると、工数の削減にもつながり、良いのではないでしょうか。

2. 従業者同士で双方向型にやり取りできるチャットルームにする

従業者の皆さんの情報セキュリティ意識が高まってきたら、情報セキュリティ管理者や担当者が一方的に発信するのではなく、従業者の方でも気になったニュースや情報があれば発信し、その発信に対し自由にコメントできるといった双方向性のチャットルームを作成してみてはいかがでしょうか。
実は、LRMでも、情報セキュリティに関するニュースを自由に投稿できるチャットルームが存在しており、各従業者が気になったニュースがあれば随時投稿やコメントしています。
この方法は従業者が情報セキュリティに関する情報を積極的に探したり、多角的な意見を得る場としても有効的なものです。

朝会などでmyセキュリティニュースを共有する

これまで上げてきた二つの方法はレベルアップしていく段階として非常に有効なものです。しかし、チャットでの共有などはするもしないも自由というところがあるため、従業者間で積極性やレベルの差が生まれてしまうかもしれません。
この方法は、1分間スピーチのような形で持ち回りで、最近気になったセキュリティニュースをそれぞれの従業者が発表していくというものです。
発表するという過程が必要になるため、従業者自身がしっかりそのニュースを理解する必要が発生します。大変な作業にはなりますが、その分従業者にとっては最も情報セキュリティリテラシーが向上する方法ともいえるでしょう。

【ポイント!】
1. 従業者の意思を尊重して行う

今回の記事で挙げたほかの方法とは異なり従業者の主体性が必要になる取り組みです。もしかすると従業者の方があまり前向きではなく、どういったことを拾っていけばいいかわからない、といった問題も発生するかもしれません。
セキュリティリテラシー向上のために、チームの空気が悪くなるといったことがあってはなりませんので、導入してみて意味のあるものになるかどうか検証したうえで、本格導入することをおすすめします。

2. 従業者の情報セキュリティリテラシーが上がってきたところで取り入れる

この方法が実施できるということは従業者にある程度セキュリティリテラシーがあるからということもできます。つまり、あまりセキュリティリテラシーが向上していない段階で取り入れてしまうと、時間の浪費で終わってしまう可能性も否めません。
そこで、今回紹介した教育やチャットでのニュース共有などほかの方法でセキュリティリテラシーがある程度上がった段階で取り入れるなど、組織のレベル感を見ながら導入することで効果の高いものになるのではないでしょうか。

まとめ

今回は、「従業者のセキュリティリテラシー向上が組織の情報セキュリティレベルを上げるための鍵である」ということをテーマに、従業者のセキュリティリテラシー向上に役立つ方法3選を紹介してきました。

今回紹介した方法は、新たにツールなどを導入せずともすぐに取り入れることが可能なものばかりです。
いろいろセキュリティ対策しているのに何故かインシデントが発生する、従業者のミスがけっこう目立つ、といった悩みをお持ちの組織は、ぜひ取り入れて従業者のセキュリティリテラシー向上を図ってみてはいかがでしょうか?

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする