現在、企業では普段の業務で様々なデータをコンピューターに保存したり、検索する際にインターネットにアクセスしています。ですが、インターネット上には悪意ある第三者が不正アクセスを試みたり、ウイルスを送ったりなど、様々な危険が潜んでいます。
「不正アクセスによって、機密情報が外部に流出してしまった」
「ウイルスに感染してしまいデータが消失してしまった」
そんな重大なインシデントになる前に、情報セキュリティについて学ぶ必要があります。
そして、それはITの担当者だけではなく、その企業で働く全員が対象です。
企業全体に、情報セキュリティの重要性を理解してもらうには、情報セキュリティ教育が重要になります。
そこで、今回はなぜ情報セキュリティ対策が必要なのか、セキュリティ教育をどのように実施すればよいか、いくつかの例を交えながら説明します。
また、実際にご利用いただける効果的な従業員教育の手順書を無料で配布しています。ぜひご活用ください。
情報セキュリティ教育についておさらい
情報セキュリティ教育の実施方法について記載する前に、まずは情報セキュリティ教育とは何か、なぜ情報セキュリティ教育が必要なのかを再確認しておきましょう。
情報セキュリティ教育の目的は、情報セキュリティ事故を未然に防ぐことです。
企業や組織におけるセキュリティ事故は、そこに所属する従業員の意識問題により、従業員本人にとって些細な問題から、大きな被害に繋がることが多々あります。
これを防ぐべく、従業員一人ひとりのセキュリティ意識の向上、セキュリティリテラシーの向上及び自社セキュリティポリシーの周知のために行う教育を情報セキュリティ教育といいます。
セキュリティリテラシーとは、セキュリティに関する基本知識の理解、基本的なセキュリティ対策を行う能力のことです。
情報セキュリティ教育の実施により従業員のセキュリティリテラシーを高めることは、企業の根本的な情報セキュリティ対策の1つなのです。
情報セキュリティについてはこちらの記事でも解説しています。
情報セキュリティ教育が重要な理由
情報セキュリティ教育の重要性は、情報セキュリティを成す3つの要素と関連性があります。
サイバーリスクを軽減し情報セキュリティを強化するには、以下の3つの側面から考える必要があります。
- オペレーション
- システム
- 人間
この中でもっとも重要なのは「人間」です。
理由は「オペレーション」と「システム」を作るのも人間だからです。
厳格なルールやポリシーをもったオペレーションを定めていても、教育が行き届かず、実施する人間がそれを守る意識がなければまったく効果がありません。
また、情報セキュリティのためのどんなシステムを構築しても、システムは人間の指示に逆らうことができません。
社内のセキュリティ意識やセキュリティリテラシーを高めるためにも、情報セキュリティ教育は重要です。
ただ情報セキュリティ教育をするだけでは意味がない
「何かしら情報セキュリティに関する取り組みをおこなう必要があるから」
「取引先から指示されたから」
などなど、様々な理由から情報セキュリティ教育を実施する企業は多くありますが、ただ情報セキュリティ教育を行えばいいという訳ではありません。
情報セキュリティ教育の本来の目的は「情報セキュリティインシデントを起こさない力量を身に着けること」です。
情報セキュリティ教育の取り組み方
従業員が「情報セキュリティインシデントを起こさない力量を身に着けられる」ような情報セキュリティ教育の実施方法をご紹介します。
ここからは、具体的な情報セキュリティ教育・研修の取り組み方について確認していきます。
また、同内容は従業員教育Todoリストでもご確認いただけます。保存しておいていただけると便利です。
教育で従業員に身につけてほしい知識・技能の決定
まずは「教育を通して何を学んでほしいのか?」を明確にするのが重要です。
情報セキュリティ全般の教育としてしまうと、部分的に知識を付けることができないため、テーマを設定して学習単位で区切って教育を行うのが望ましいです。
情報セキュリティの知識の中でも、重要な知識を抜粋して紹介します。
- パスワード管理
- 電子メールの誤送信
- ウイルス対策
- SNSの利用について
- バックアップ
- 公衆無線LAN の危険性について
パスワード管理
各種のハードウェア、ソフトウェア、サービスなどの利用に際してパスワードを利用することは一般的ではありますが、パスワードの内容や管理方法も理解し、徹底する必要があります。
たとえば、パスワードも「12345」「abcde」のように簡単かつ法則が予測しやすいパスワードは、容易に突破される可能性があります。
パスワードの設定する際は「不規則なパスワード」「他のサイトで同じパスワードを使い回さない」を使うように周知しましょう。
また、パスワードを忘れてしまうからと「ノートパソコンに付箋でパスワードをかいたものを貼っておく」など、不適切なパスワードの保管方法をしてしまうリスクもあるので、ここまで含めて教育の対象となります。
パスワードについて、詳しくはこちらの記事で解説しています。
電子メールの誤送信
電子メールの誤送信は最も身近なセキュリティリスクです。
例えば顧客の情報を外部に誤って送ってしまうと情報流出になってしまいます。
もし誤送信をしてしまうと、顧客に迷惑をかけたり、企業に大きな損失をもたらすリスクがあります。
メールの誤送信を防ぐために、ダブルチェックをする仕組みを作るよう指導したり、あわせてCCとBCCの使い分けなど、メールの利用についてのルール周知も行うとより有効です。
メールについて、詳しくはこちらの記事で解説しています。
ウイルス対策
もし業務で使っているウイルスに感染してしまうと情報流出や情報の消去などのリスクがあります。
そうなると、業務の遅滞や損害に繋がってしまいます。
「怪しいサイトは開かない」
「送り先が不明なメールのファイルは開かない」
どんな経路で感染してしまうか、ウイルスの理解や対策方法について周知しましょう。
ウイルス対策について、詳しくはこちらの記事で解説しています。
SNSの利用について
SNSの利用は一般的なこととなっており、従業員が個人的に利用することは規制することはできません。
しかし、公私の区別が付かず業務上の情報が流出するような事態が発生するようなことは防がなければなりません。
また「〇〇会社の〇〇最悪」などのように、相手の名誉を毀損するような発言もNGです。
ITリテラシーの一つとして、SNSの利用の仕方、記載してよい内容などについて教育しましょう。
SNSについて、詳しくはこの記事で解説しています。
バックアップ
セキュリティリスクの中でも情報の改ざんや破壊、端末のウイルス感染による利用不可時などに対する有効な対策として、バックアップの実施も重要です。
問題に直面してしまう前に、正しいバックアップの取り方とデータの保管についての教育を行っておくことが必要です。
公衆無線LANの危険性について
Wi-Fiなどの公衆無線LANの利用においては、情報漏えいなどのセキュリティリスクが存在しています。
喫茶店などでパソコンを開いて作業することで情報を盗聴されるリスクがあるので、情報セキュリティ教育として、危険性の周知を行い、注意点などを伝えておくことで未然にトラブルを防ぐことに繋がります。
教育対象者の決定
教育の目的が定まったら、次に情報セキュリティ教育の対象者を選定しておきましょう。
教育対象者を定める場合には、各範囲のフォローにあたる担当者も定めておくとスムーズです。
例えば、下記のような範囲を対象と定めることができます。
- 全従業員
- 東京オフィスに在籍する人
- 営業部の従業員
自社の従業員だけでなく、必要に応じて契約社員・外部委託先の社員などに教育をおこなうことも有効です。
また、内部監査員、情報セキュリティ事務局といった、役割に応じた教育の実施も必要となります。
教育実施の頻度・タイミングの決定
教育実施の頻度とタイミングをあらかじめ決めておき、業務の1つとして実施できるようにスケジュールを組みましょう。
頻度の例としては、下記のようなものが挙げられます。
- 毎年1度
- 毎月1度
- 四半期に1度
また、タイミングの例としては、下記のとおりです。
- 毎年4月
- 同業他社で事故が起きたとき
- 自社でヒヤリハット・事故が発生したとき
- 社内のルールが変更になったとき
教材の準備
セキュリティ教育の実施に向けて、教材の準備が必要となります。
従業員に身につけてほしい知識・技能に関する内容が含まれた教材を選ぶと良いでしょう。
Webにて無償で教材が配布されていたり、販売されている教材を購入して利用するのも選択肢の一つですが、情報セキュリティに関する情報は日々変化していることは理解しておきましょう。
最新の情報を身に着けなければ役に立たないこともあるため、最新化が図られている教材を利用してください。
LRMの情報セキュリティ教育クラウド「セキュリオ」では、eラーニング教材のサンプルを無料で公開しています。ご検討の参考にしてみてください。
教育実施方法の決定
教材の準備ができたら、次に教育の実施方法を選定しましょう。
一般的な方法としては、以下の4つが挙げられます。
- eラーニング
- 外部セミナー
- 社内研修
- DVD
それぞれ特徴を解説します。
eラーニング
| メリット | デメリット |
|---|---|
|
|
進捗状況などが一目でわかりやすく、既存のサービスを使って教育を実施できるため、管理も楽です。
反面、ネット環境が必須なので、どこでも教育が実施できるという訳ではありません。
外部セミナー
| メリット | デメリット |
|---|---|
|
|
外部セミナーは、その分野の専門家が解説してくれるため、より深い知識を得ることができ、その場で分からないことがあれば質問できるのが大きなメリットです。
反面、参加には費用がある場合があり、セミナー会場まで赴く必要があります。
社内研修
| メリット | デメリット |
|---|---|
|
|
自社オリジナルの内容で自由に研修ができるため自由度が高いですが、担当者が資料や会場を準備する必要があるため、負担は大きく通常業務に関しても手間や負担が多くなってしまいます。
DVD
| メリット | デメリット |
|---|---|
|
|
研修用の映像を見せて研修する場合は、何度も繰り返し視聴でき、DVDを複製することも可能です。
ですが、DVDを見るための機械が必要であり、情報の更新が目まぐるしいIT業界においてはあまり向いていないません。
教育を実施
上記の準備ができたら、実際に教育を実施します。
選択した方法で、準備した教材を使って教育をおこないましょう。
教育の効果を測定
教育を実施する際には、合わせて効果測定もおこなうと良いでしょう。
効果測定とは、従業員が教育を受けてどの程度理解したかを把握するものです。
一般的には、下記のような方法で測定します。
テストの実施
教育後にその時に出た知識を問うテストを実施し、その点数によって理解度を測定します。
インシデントの発生件数を比較
セキュリティ教育を実施した後と前とで、インシデントの発生数をと比較して、効果が出ているかを測定します。
インタビュー(質問)
従業員へインタビューをおこない、研修で学んだ内容を質問します。
その質問に対する回答内容をもとに効果を測定します。
教育実施後の見直し
効果測定が完了したら、その結果をもとに「身につけてほしい知識・技能」を従業員が身につけられたのか判断しましょう。特に効果測定で問題のある従業員がいれば、フィード・フォローを行うことも検討してください。
もし、全体的に身につけられていないようであれば、次回の教育実施に向けて教育方法や内容を見直しましょう。
教育実施記録の保管
最後に、教育の結果をまとめて保管しておきましょう。
過去のすべての教育記録を残しておく必要はありませんが、昨年の教育記録を確認できるようにしておくと、今年実施した教育が昨年に比べてどうだったのかを判断する材料になるため、教育方法の改善・見直しを行うにあたって有効です。
「力量を身に着ける」ための効果的な教育が必要
上述のとおり、情報セキュリティ教育で求められているのは「教育を実施すること」ではありません。「情報セキュリティインシデントを起こさない力量を身につけること」です。それが「情報漏えいが起こらない組織を作ること」に繋がります。
ですが、教育を実施するにあたり、知識を詰め込むために、気合いを入れて分厚い教材を用意・作成する必要はありません。
社員にセキュリティに対しての意識や、危機感をうめるような教育を実施しましょう。
従業員教育Todoリストもあわせてご活用ください。
まとめ
情報セキュリティ教育について解説しました。
情報セキュリティ教育では正しい知識を、1人でも多くの社員に効率的に教育するのを継続的に行い、情報を正しくアップデートしていく必要があります。
自社にとって最適な教育のあり方を、ぜひ模索してみてください。
