情報セキュリティ教育をどんな方法でどれくらいの頻度で誰を対象に実施するのか、というのは、得られる効果とコスト・リソースを見比べて、しっかり考える必要があります。
また、組織によっては、取引先、親会社からの要請や、認証取得の要件として教育実施の必要性があり、教育するべき内容が決まっている、と言う場合もあるかもしれません。
本記事では、情報セキュリティ教育の実施方法について、実施方法の流れを、そもそもなぜセキュリティ教育が必要なのかというところにも立ち返りつつ解説します。
セキュリティ教育の手順だけを簡潔に確認したい方は、ToDoリスト資料を無料で配布していますので、こちらをご確認ください。
情報セキュリティ教育についておさらい
情報セキュリティ教育の実施方法について記載する前に、まずは情報セキュリティ教育とは何か、なぜ情報セキュリティ教育が必要なのかを再確認しておきましょう。
情報セキュリティ教育の目的は、情報セキュリティ事故を未然に防ぐことです。
企業や組織におけるセキュリティ事故は、そこに所属する従業員の意識問題により、従業員本人にとって些細な問題から、大きな被害に繋がることが多々あります。
これを防ぐべく、従業員一人ひとりのセキュリティ意識・リテラシー向上及び自社セキュリティポリシー周知のために行う教育を情報セキュリティ教育といいます。
セキュリティリテラシーとは、セキュリティに関する基本知識の理解、基本的なセキュリティ対策を行う能力のことです。
情報セキュリティ教育の実施により従業員のセキュリティリテラシーを高めることは、企業の根本的な情報セキュリティ対策の1つなのです。
情報セキュリティ教育が重要な理由
情報セキュリティ教育の重要性は、情報セキュリティを成す3つの要素と関連性があります。サイバーリスクを軽減し、情報セキュリティを強化するには、以下の3つの側面から考える必要があります。
- オペレーション
- システム
- 人間
この中でもっとも重要なのは「人間」です。理由は「オペレーション」と「システム」を作るのも人間だからです。
厳格なルールやポリシーをもったオペレーションを定めていても、教育が行き届かず、実施する人間がそれを守る意識がなければまったく効果がありません。
また、情報セキュリティのためのシステムを作ったら、それを人間が活かしきる必要があります。社内のセキュリティ意識やセキュリティリテラシーを高めるためにも、情報セキュリティ教育は重要です。
情報セキュリティ教育の取り組み方
従業員が情報セキュリティインシデントを起こさない力量を身に着けられる情報セキュリティ教育の実施方法をご紹介します。
ここからは、具体的な情報セキュリティ教育・研修の取り組み方について確認していきます。
また、同内容は従業員教育Todoリストでもご確認いただけます。ダウンロードしておくと便利です。
教育で従業員に身につけてほしい知識・技能の決定
まずは「教育を通して何を学んでほしいのか?」を明確にするのが重要です。
情報セキュリティ全般の教育としてしまうと、部分的に知識を付けることができないため、テーマを設定して学習単位で区切って教育を行うのが望ましいです。
例えば、下記のようなテーマが考えられます。
- セキュリティ事故の概要と対処法
- 自社のセキュリティルールの内容
- セキュリティを考慮したシステムの構築・開発方法
- サイバー攻撃に関する動向
教育対象者の決定
教育の目的が定まったら、次に情報セキュリティ教育の対象者を選定しておきましょう。教育対象者を定める場合には、各範囲のフォローにあたる担当者も定めておくとスムーズです。
例えば、下記のような範囲を対象と定めることができます。
- 全従業員
- 東京オフィスに在籍する人
- 営業部の従業員
自社の従業員だけでなく、必要に応じて契約社員・外部委託先の社員などに教育をおこなうことも有効です。 また、内部監査員、情報セキュリティ事務局といった、役割に応じた教育の実施も必要となります。
教育実施の頻度・タイミングの決定
教育実施の頻度とタイミングをあらかじめ決めておき、業務の1つとして実施できるようにスケジュールを組みましょう。
頻度の例としては、下記のようなものが挙げられます。
- 毎年1度
- 毎月1度
- 四半期に1度
また、タイミングの例としては、下記のとおりです。
- 毎年4月
- 同業他社で事故が起きたとき
- 自社でヒヤリハット・事故が発生したとき
- 社内のルールが変更になったとき
教材の準備
セキュリティ教育の実施に向けて、教材の準備が必要となります。従業員に身につけてほしい知識・技能に関する内容が含まれた教材を選ぶと良いでしょう。
Webで情報収集して教材を作成する、販売されている教材を購入して利用する、というのも選択肢ですが、最新の情報をキャッチアップし続けるには、最新の情報を身に着けなければ役に立たないこともあるため、最新化が図られている教材を利用してください。
LRMのセキュリティ教育クラウド「セキュリオ」では、eラーニング教材のサンプルを無料で公開しています。ご検討の参考にしてみてください。
教育実施方法の決定
教材の準備ができたら、次に教育の実施方法を選定しましょう。
一般的な方法としては、以下の4つが挙げられます。
- eラーニング
- 外部セミナー
- 社内研修
- DVD
それぞれ特徴を解説します。
eラーニング
| メリット | デメリット |
|---|---|
|
|
教材の作成や選定の手間がかからず、また、従業員の受講状況や成績を確認しやすいため、かなり効率的です。
外部セミナー
| メリット | デメリット |
|---|---|
|
|
外部セミナーは、その分野の専門家が解説してくれるため、より深い知識を得ることができ、その場で分からないことがあれば質問できるのが大きなメリットです。
反面、参加には費用がある場合があり、セミナー会場まで赴く必要があります。
社内研修
| メリット | デメリット |
|---|---|
|
|
自社オリジナルの内容で自由に研修ができるため自由度が高いですが、担当者が資料や会場を準備する必要があるため、負担は大きく通常業務に関しても手間や負担が多くなってしまいます。
教育を実施
上記の準備ができたら、実際に教育を実施します。選択した方法で、準備した教材を使って教育をおこないましょう。
教育の効果を測定
教育を実施する際には、合わせて効果測定もおこなうと良いでしょう。効果測定とは、従業員が教育を受けてどの程度理解したかを把握するものです。
一般的には、下記のような方法で測定します。
テストの実施
教育後にその時に出た知識を問うテストを実施し、その点数によって理解度を測定します。
インシデントの発生件数を比較
セキュリティ教育を実施した後と前とで、インシデントの発生数を比較して、効果が出ているかを測定します。
インタビュー(質問)
従業員へインタビューやアンケートおこない、研修で学んだ内容を質問します。その質問に対する回答内容をもとに効果を測定します。
教育実施後の見直し
身に着けてほしい知識・リテラシーを従業員が身につけられたかどうか特に効果測定で問題のある従業員がいれば、フィードバックやフォローを行うことも検討してください。
もし、全体的に身につけられていないようであれば、次回の教育実施に向けて教育方法や内容を見直しましょう。
教育実施記録の保管
最後に、教育の結果をまとめて保管しておきましょう。
過去のすべての教育記録を残しておく必要はありませんが、昨年の教育記録を確認できるようにしておくと、今年実施した教育が昨年に比べてどうだったのかを判断する材料になるため、教育方法の改善・見直しを行うにあたって有効です。
「力量を身に着ける」ための効果的な教育が必要
上述のとおり、情報セキュリティ教育で求められているのは「教育を実施すること」ではありません。「情報セキュリティインシデントを起こさない力量を身につけること」です。それが「情報漏えいが起こらない組織を作ること」に繋がります。
ですが、教育を実施するにあたり、知識を詰め込むために、気合いを入れて分厚い教材を用意・作成する必要はありません。
社員に情報セキュリティ意識や必要な危機感を醸成する教育を実施しましょう。
従業員教育Todoリストもあわせてご活用ください。
まとめ
情報セキュリティ教育について解説しました。
情報セキュリティ教育では正しい知識を、1人でも多くの社員に効率的に教育するのを継続的に行い、情報を正しくアップデートしていく必要があります。
自社にとって最適な教育のあり方を、ぜひ模索してみてください。
