情報セキュリティ教育の重要性は高く、あらゆる企業で力を入れて実施している状況です。
しかし、情報セキュリティ教育の担当者としては取り組み方や、期待した成果がでているかは非常に悩ましいポイントです。
情報セキュリティ教育では、組織が何を重要視しているか、コストとリソース、取引先や親会社からの要請、認証取得までが検討材料となります。
したがって、特にはじめて担当者になった方や、自社のセキュリティ教育の形骸化の立て直しを図る立場の方などは苦労しているかもしれません。
本記事では、効果的な情報セキュリティ教育について、年間計画の立て方から研修手法の比較、役職別の研修内容、すぐに使えるテーマ例などを解説します。
効果的な教育の全体像を把握し、具体的な計画を立てるための知識をつけていただけます。
セキュリティ教育の手順だけを簡潔に確認したい方は、ToDoリスト資料を無料で配布していますので、こちらをご確認ください。
情報セキュリティ教育についておさらい
あらためて、情報セキュリティとは企業や組織、個人の持つ情報資産を守り、継続的に利用し続けることです。そして、情報セキュリティ教育の目的は、情報セキュリティ事故を未然に防ぐことです。
企業や組織におけるセキュリティ事故は、そこに所属する従業員の意識問題により、従業員本人にとって些細なことからも大きな被害に繋がることが多々あります。
これを防ぐべく、従業員一人ひとりのセキュリティ意識・リテラシー向上及び自社セキュリティポリシー周知のために行う教育が情報セキュリティ教育なのです。
セキュリティリテラシーとは、セキュリティに関する基本知識の理解、基本的なセキュリティ対策を行う能力のことです。
情報セキュリティ教育の実施により従業員のセキュリティリテラシーを高めることは、企業の根本的な情報セキュリティ対策の1つなのです。
なぜ今、情報セキュリティ教育が重要なのか?3つの要素との関係
情報セキュリティ教育の重要性は、情報セキュリティを成す3つの要素と関連性があります。
サイバーリスク軽減、情報セキュリティ強化にいずれも欠かすことはできません。
- オペレーション
- システム
- 人間
この中でもっとも重要なのは「人間」です。理由は「オペレーション」と「システム」を作るのも人間だからです。
厳格なルールやポリシーをもったオペレーションを定めていても、教育が行き届かず、実施する人間がそれを守る意識がなければまったく効果がありません。
また、情報セキュリティのための仕組みを導入しても、それを人間が活用できなければ意味がありません。社内のセキュリティ意識やセキュリティリテラシーを高めるためにも、情報セキュリティ教育は重要です。
【4ステップで完成】効果的な情報セキュリティ教育の年間計画の立て方
従業員が情報セキュリティインシデントを起こさない力量を身に着けられる情報セキュリティ教育については、計画的に準備をすることが重要です。
以下では、4ステップで完成する情報セキュリティ教育の年間計画の立て方を紹介します。
①教育の目的と身につけてほしい知識・技能の決定
②教育実施の頻度・タイミングの決定
③教材の準備
④教育実施方法の決定
また、同内容は従業員教育Todoリストでもご確認いただけます。ダウンロードしてご活用ください。
①教育の目的と身につけてほしい知識・技能の決定
まずは「教育を通して何を学んでほしいのか?」、情報セキュリティ教育の目的を明確にするのが重要です。
学習の指針を「情報セキュリティ全般の教育」としてしまうと、部分的に知識を付けることができないため、テーマを設定して学習単位で区切って教育を行うのが望ましいです。
例えば、下記のようなテーマが考えられます。詳細は、後述の「【役職・対象者別】情報セキュリティ教育の学習内容とテーマ例」を参照ください。
- セキュリティ事故の概要と対処法
- 自社のセキュリティルールの内容
- セキュリティを考慮したシステムの構築・開発方法
- サイバー攻撃に関する動向
教育の目的が定まったら、次に情報セキュリティ教育の対象者を選定しておきましょう。教育対象者を定める場合には、各範囲のフォローにあたる担当者も定めておくとスムーズです。
例えば、下記のような範囲を対象と定めることができます。
- 全従業員
- 東京オフィスに在籍する人
- 営業部の従業員
自社の従業員だけでなく、必要に応じて契約社員・外部委託先の社員なども教育の対象として実施することも有効です。また、内部監査員、情報セキュリティ事務局といった、役割に応じた教育の実施も必要となります。
②教育実施の頻度・タイミングの決定
情報セキュリティ教育を実施する頻度とタイミングをあらかじめ決めておき、業務の1つとして実施できるようにスケジュールを組みましょう。
頻度の例としては、下記のようなものが挙げられます。
- 毎年1度
- 毎月1度
- 四半期に1度
また、タイミングの例としては、下記のとおりです。
- 毎年4月
- 同業他社で事故が起きたとき
- 自社でヒヤリハット・事故が発生したとき
- 社内のルールが変更になったとき
毎年あるIPAの情報セキュリティ10大脅威の発表も学習タイミングの一つに活用するとよいです。
③教材の準備
セキュリティ教育の実施に向けて、教材の準備が必要となります。従業員に身につけてほしい知識・技能に関する内容が含まれた教材を選ぶことが大切です。
Webで情報収集して教材を作成する、販売されている教材を購入して利用するというのも選択肢です。その際、最新の情報セキュリティをキャッチアップし続けるには、最新化が図られている教材を利用してください。
LRMのセキュリティ教育クラウド「セキュリオ」では、eラーニング教材のサンプルを無料で公開しています。ご検討の参考にしてみてください。
④教育実施方法の決定
教材の準備ができたら、次に教育の実施方法を選定しましょう。
一般的な実施方法としては、以下の4つが挙げられます。
- eラーニング
- 外部セミナー
- 社内研修
- DVD
教育実施方法の選定については、後述の手法の比較を参照してください。
以上の4ステップで、まずは計画の骨子を固めましょう。
その上で、会社の繁忙期や事業計画に合わせて内容を具体的に調整することで、形骸化しない、自社に最適化された効果的な年間教育を計画してみてください。
【役職・対象者別】情報セキュリティ教育の学習内容とテーマ例
組織に所属するすべての従業員に対し、情報セキュリティ教育は必要です。
しかし、すべての従業員に必要な知識は同じではありません。
役職者および管理者や業務で情報資産を扱う場合には、一般ユーザーとは教育内容は変わります。
下記は、対象者別の情報セキュリティ教育の学習内容、テーマの一例です。
| 対象者 | 学習内容 | テーマ |
| 全従業員 | 情報システム利用上の注意点 | ITリテラシー メールを介したサイバー攻撃 Webサイト利用上の注意 SNS利用ガイドライン 業務上の生成AI利用について |
| 管理職(システム、データ管理者) | 情報資産管理 | パスワード管理 アクセス権限の付与 |
| 情報システムの開発・運用・保守を担当 | サイバー攻撃手法 外部委託 |
サイバー攻撃手法と対策 セキュリティ製品動向 外部委託に関するセキュリティリスク |
| 情報セキュリティ管理者 | 情報セキュリティポリシー リスクアセスメント 情報セキュリティ規程 ISMS |
最新の脅威に対するリスク ISMS推進 |
| 内部監査担当 | 情報セキュリティルール 情報資産に関する法務 |
情報セキュリティ品質、マネジメントに関する規格 情報資産関連法について |
| 経営者 | 情報セキュリティリスク セキュリティ対策のトレンド |
サイバーセキュリティリスクと対策 事業継続計画 |
情報セキュリティ教育の主な手法と比較(eラーニング・集合研修など)
情報セキュリティ教育の実施方法については、いくつかの手法があります。
以下に、代表的な手法とメリット、デメリットをまとめました。
| 手法 | メリット | デメリット | 詳細 |
|---|---|---|---|
| eラーニング |
知識の習得具合が数値化される |
ネット環境が必須 | 教材の作成や選定の手間がかからず、従業員の受講状況や成績を確認しやすいためかなり効率的 |
| 外部セミナー |
社内になかった発想や知識を得ることができる |
セミナー会場まで足を運ぶ必要がある |
専門家の解説により深い知識を得ることが可能だが、参加には費用がかかる場合がある |
| 集合研修(社内) |
自社オリジナルの内容で自由に研修ができる |
研修担当者に手間や負担がかかる |
自由度は高いが、担当者の負担は大きい |
| DVDや動画コンテンツ |
場所や時間を選ばない |
学習状況が把握しづらい |
学習はしやすいが、定着度は受講者次第 |
| サイバー攻撃模擬訓練 |
実践的な知識が身に付く |
準備に手間がかかる |
メール攻撃などへの実践的なスキル獲得が期待できる |
計画、準備後のフェーズについて
情報セキュリティ教育の計画をたて、教材、学習方法についても準備ができたら、いよいよ実際の教育をはじめます。
とはいえ、単純に計画通りに教育を実施するだけではありません。
下記のフェーズでサイクルを回しながらセキュリティ教育を行い、より高い成果を目指します。
- 教育の実施
- 教育の効果を測定
- 教育実施記録の見直し
- 教育実施記録の保管
教育の効果測定では、テスト、実施前後のインシデント発生件数、インタビュー、アンケートなどを行います。
期待した成果がでているか、出ていないのであれば問題はどこにあるかを明確にし、改善することが重要です。
また、同内容は従業員教育Todoリストでもご確認いただけます。ダウンロードしてご活用ください。
担当者が抱えがちな情報セキュリティ教育のよくある失敗と対策
情報セキュリティ教育担当者が抱えがちなよくある失敗や問題、悩みとその対策の例をまとめました。
| よくある失敗や問題、悩み | 対策 |
|---|---|
|
一方的な講義で飽きられる |
講義内で口頭試問を行う |
|
脅威を煽るだけで具体的な対策が伝わらない |
脅威と対策を関連付けた教材を用いる |
|
当事者意識を持ってもらえない |
具体的な被害事例などで現実感を持ってもらう |
|
トレンドをフォローしきれない |
継続的に更新が行われているeラーニング教材を利用する |
|
教材の準備などの負荷が高すぎる |
教材準備、学習管理を効率的に行えるeラーニング教材を利用する |
LRMのセキュリティ教育クラウド「セキュリオ」では、eラーニング教材のサンプルを無料で公開しています。ご検討の参考にしてみてください。
まとめ
情報セキュリティ教育で求められているのは「教育を実施すること」ではありません。
教育を受けた人が「情報セキュリティインシデントを起こさない力量を身につけること」です。
そして、情報漏えいが起こらない組織を作ることに繋がります。
ただし、教育を実施するにあたり、知識を詰め込むために、大量の教材を用意・作成する必要はありません。
適切な計画をたて、eラーニングなどを利用することで効率的に学習を提供可能です。
教材作りに没頭するよりも、情報セキュリティ意識や危機感を醸成する教育を実施しましょう。
従業員教育Todoリストもあわせてご活用ください。
