組織の情報セキュリティレベルを上げるために、セキュリティ向上のためのツールやサービスの導入、セキュリティに関するルールの制定などが必要とお考えではないでしょうか。
それらの方法は確かに効果的ですが、ツールの導入やルールの厳格化よりも優先すべきことは、従業員のセキュリティリテラシーを向上させることです。
それでは従業員のセキュリティリテラシーを向上させるには、どうしたら良いのでしょうか。この記事ではその方法について詳しく解説します。
また、従業員のセキュリティリテラシー向上に向けた教育を実施する際の方法や流れについてはこちらの記事で詳しくご紹介していますので、あわせてお読みください。
従業者のセキュリティリテラシーが低いと組織の情報セキュリティレベルは上がらない?
セキュリティに関する事故や事案などを総称する言葉として「インシデント」という単語が使われています。
インシデントと聞くと、サイバー攻撃や不正アクセスといった外部の悪意を持った人物によるインパクトのある攻撃をイメージしますが、メールの誤送信やパソコンの紛失、情報の誤掲載などの社内の従業者によるミスも含まれます。不審なメールの開封や不審なサイトへのアクセスによるマルウェア感染なども従業者のミスによるインシデントといえるでしょう。
このような従業員のミスによるインシデントは、従業員が持つセキュリティの知識や技術の欠如に加えて、セキュリティに関する意識の低さも原因と言えます。従業員は組織の構成員であり、従業員のセキュリティレベルが組織のセキュリティレベルに大きく影響を及ぼします。
つまり、従業者の意識そのものが組織の情報セキュリティのレベルに深く関わっており、従業者のセキュリティリテラシーを向上させることが、組織の情報セキュリティレベル向上につながると言えます。
それでは従業員のセキュリティリテラシーを向上させるためには、どうしたら良いのでしょうか。
従業者のセキュリティリテラシーを向上させる方法は3つ
ここでは従業者のセキュリティリテラシーを向上させるための方法を3つ紹介していきます。
3つの方法の全てに共通して意識するべきことは、これらの方法を「定期的に行う」ことです。定期的という意味では年1回でも問題ではないのですが、年1回だけ情報セキュリティについて触れる機会を作っても従業者からするとあまり身近には感じられない可能性が高いです。
そこで、四半期に1回やできることなら月1回など従業者にとって情報セキュリティが身近になるレベルの頻度で行うことで効果は高まっていきます。
たとえ同じ内容でも繰り返し行うことで、従業員のセキュリティリテラシーや知識、技術が向上して、組織全体のセキュリティリテラシーの向上につながります。
情報セキュリティ教育を実施する
1つ目は、eラーニングや集合研修などの方法で従業者教育を行うというものです。
この方法は、ISMSの運用を行っていると取り組みの中で自然と行っているという組織も多いのではないでしょうか。そのため、多くの組織では現在行っていることを流用できるため実施しやすいかもしれません。
従業員の情報セキュリティ教育を実施する手順・方法についてはこちらの記事で詳しく解説しています。
頻度を上げてみる
情報セキュリティ教育は、基本的には年1回のみ実施するという組織が多いと思います。
やはりその場合だと、従業者に情報セキュリティの意識が浸透しづらいので、もう少し頻度を上げて半年に一回や四半期に一回など行うことで、従業者にとって情報セキュリティがより身近になりリテラシーの向上も期待できるでしょう。
頻度を上げる場合には、eラーニングの導入や動画配信など、場所や時間を選ばず実施できる方法を導入することが望ましいです。
情報セキュリティeラーニングを今すぐトライアル!
集合研修とeラーニングを組み合わせる
一つ目に挙げた実施頻度を上げるという方法は基本的には良いのですが、eラーニングだけだと合格するためだけに惰性で行う人も出てきてしまうかもしれません。基本的に、eラーニングは一人で学習するスタイルであり、しっかりと知識が定着したかどうかを確認する手段も乏しいのが現状です。また一人で延々と勉強を継続するための、モチベーションの維持も課題点です。
そこで、基本はeラーニングなどで行いつつ半年や年1回は集合研修を行いましょう。
集合研修として、グループワークなどほかの従業員とチームを組んで主体的に学ぶ場を作る、といった機会も設けることで、従業者の情報セキュリティリテラシーをより向上させ、身近なものにすることができるのではないでしょうか。
日常的に注意喚起をする
eラーニングや集合研修などを実施しただけでは、十分なセキュリティリテラシーを身に付けることは困難です。学んだことを日々反復して実践することが大事なのです。
そのための方法として、1ヵ月に1度セキュリティチェックデーを設けるなどして、社内に普段から注意する点を浸透させることがおすすめです。
具体的には、eラーニングや集合研修で学んだ内容を元にして、テストなどで知識の定着具合をチェックし、定着していない場合は資料を再読させましょう。
このような取り組みを進めることで、従業員の中には反発する方も出てくるかもしれません。しかし従業員が情報セキュリティリテラシーを身に付けることの重要性を丁寧に説明して、全ての従業員に理解していただきましょう。
またこのような日常的な注意喚起として、業務で使用しているIDカードやUSBメモリなどの紛失がないかどうかもチェックするとよいでしょう。
情報セキュリティ関連情報をチャットで共有する
2つ目の方法は、情報セキュリティ関連情報をチャットで共有することです。
情報セキュリティリテラシーを身に付ける取り組みは、どちらかというと教育的な側面が強く、従業員にとっては自分事として捉えられない方もいらっしゃるでしょう。
そのような場合、その時々に発生している情報セキュリティニュースや気になる話題を社内チャットなどを通じて発信、共有するのがおすすめです。
そのような場合には、実際のインシデントニュースや脅威についての情報を発信することで、従業者にとって身近に感じてもらったり、注意力の向上を促したりできるでしょう。まずは、情報セキュリティ管理者や担当者が発信していくという形が実施しやすいのではないでしょうか。
情報セキュリティ関連情報の発信サイトとチャットを連携させる
具体的にどのような情報を発信するのか、情報セキュリティ管理者や担当者が探したりピックアップしたりする難しいといったケースもあるかもしれません。
その場合には、IPAやJPCERT/CCのような情報セキュリティの専門機関やニュースサイトとRSS連携(利用者がWebブラウザで各サイトを回らなくても、購読しているサイトの更新情報をリアルタイムにチェックすることができる機能)を行うなどして、新たな情報が発信され次第、チャットにも共有される仕組みを作ると、工数の削減にもつながり、良いのではないでしょうか。
当サイトも情報セキュリティにまつわる情報を多数発信しておりますので、ぜひ貴社でもお役立ていただけますと幸いです!
従業者同士で双方向型にやり取りできるチャットルームにする
従業者の皆さんの情報セキュリティ意識が高まってきたら、情報セキュリティ管理者や担当者が一方的に発信するのではなく、従業者の方でも気になったニュースや情報があれば発信し、その発信に対し自由にコメントできるといった双方向性のチャットルームを作成してみてはいかがでしょうか。
実は、LRMでも、情報セキュリティに関するニュースを自由に投稿できるチャットルームが存在しており、各従業者が気になったニュースがあれば随時投稿やコメントしています。この方法は従業者が情報セキュリティに関する情報を積極的に探したり、多角的な意見を得たりする場としても有効的なものです。
朝会などでmyセキュリティニュースを共有する
3つ目は、朝会などでmyセキュリティニュースを共有する方法です。
ここまでで紹介したチャットで共有する方法はレベルアップしていく段階として非常に有効なものです。
しかし、チャットでの共有などはするもしないも自由というところがあるため、従業者間で積極性やレベルの差が生まれてしまうかもしれません。
そのような場合は、朝会などでmyセキュリティニュースを共有する方法がおすすめです。
この方法は、1分間スピーチのような形を取り持ち回りで、最近気になったセキュリティニュースをそれぞれの従業者が発表していくというものです。
発表するという過程が必要になるため、従業者自身がしっかりそのニュースを理解する必要が発生します。大変な作業にはなりますが、その分従業者にとっては最も情報セキュリティリテラシーが向上する方法ともいえるでしょう。
従業者の意思を尊重して行う
myセキュリティニュースを共有する方法は、今回の記事で挙げたほかの方法とは異なり従業者の主体性が必要になる取り組みです。
もしかすると従業者の方があまり前向きではなく、どういったことを拾っていけばいいかわからない、といった問題も発生するかもしれません。セキュリティリテラシー向上のために、チームの空気が悪くなるといったことがあってはなりませんので、導入してみて意味のあるものになるかどうか検証したうえで、本格導入することをおすすめします。
従業者の情報セキュリティリテラシーが上がってきたところで取り入れる
この方法が実施できるということは従業者にある程度セキュリティリテラシーがあるからということもできます。つまり、まだあまりセキュリティリテラシーが向上していない段階で取り入れてしまうと、時間の浪費で終わってしまう可能性も否めません。
そこで、今回紹介した教育やチャットでのニュース共有などほかの方法でセキュリティリテラシーがある程度上がった段階で取り入れるなど、組織のレベル感を見ながら導入することで効果の高いものになるのではないでしょうか。
セキュリティ事故が発生した場合は原因を追究し共有する
ここまでで情報セキュリティリテラシーを向上させる方法を紹介してきました。しかし不幸にも何らかのセキュリティ事故が発生してしまう可能性も無視できません。
万が一セキュリティ事故が発生したら、その理由を追求して根本的な原因を探しましょう。具体的には、システムやサーバーへのアクセスログの分析や、従業員からのヒアリングなども必要でしょう。また外部の専門家の意見が求められるケースもあります。
調査の結果、根本原因が判明したら、改善して社内に周知しましょう。そして2度と同じセキュリティ事故を発生させないための、徹底的な対策が必要です。
まとめ
組織の情報セキュリティレベルを上げるために、従業員のセキュリティリテラシーを向上させる方法についてご紹介しました。
今回紹介した方法の多くは、新たにツールなどを導入せずともすぐに取り入れることが可能なものばかりです。いろいろセキュリティ対策しているのに何故かインシデントが発生する、従業者のミスがけっこう目立つ、といった悩みをお持ちの組織は、ぜひ取り入れて従業者のセキュリティリテラシー向上を図ってみてはいかがでしょうか?
また、従業員のセキュリティリテラシー向上に向けた教育を実施する際の方法や流れについてはこちらの記事で詳しくご紹介していますので、あわせてお読みください。