情報セキュリティ教育の実施方法とは?具体的な手順について解説

この記事は約11分で読めます。

IT化、デジタル化の推進とともに、企業や組織の保有する情報の価値は高まり続けています。
一方で、情報セキュリティに関するリスクの拡大とも表裏一体となっていることには注意が必要です。 

近年では、企業や組織の規模に関わらずサイバー犯罪のターゲットとなるケースがみられます。
あらゆる立場において、情報セキュリティに関する教育を行い、サイバー攻撃に備える必要性が高まっている状況です。 

ITリテラシーを高め、情報セキュリティに関する知識を持つことの重要性は広く知られ、実際に少しずつその情報は浸透しているといえます。
しかしながら、情報セキュリティ教育を行う立場となると、その実施方法や手順についてまでは把握できていない場合も多々あるでしょう。 

本記事では、情報セキュリティ教育について、必要性を再確認し、実施方法や具体的な手順について解説します。 

また、こちらは情報セキュリティ従業員教育に役立つチェック形式Todoリスト(無料)です。

  • 教育の手順が分かる!
  • そのままタスク管理に使える!

これから教育を始める方も、現状の教育を見直したい方も、ぜひご活用ください。

情報セキュリティ教育についておさらい

情報セキュリティ教育の実施方法について記載する前に、まずは情報セキュリティ教育とは何かなぜ情報セキュリティ教育が必要なのかを再確認しておきましょう。 

情報セキュリティ教育の目的は、情報セキュリティ事故を未然に防ぐことです
企業や組織におけるセキュリティ事故はそこに所属する従業員などのたった一つの端末が発端となって、大きな被害に繋がることが多々あります。
これを防ぐべく、従業員一人ひとりのセキュリティ意識の向上、セキュリティリテラシーの向上及び自社セキュリティポリシーの周知のために行う教育を情報セキュリティ教育といいます。 

情報セキュリティ教育の実施により従業員のセキュリティリテラシーを高めることは、企業の根本的な情報セキュリティ対策の一つなのです。​ 

セキュリティリテラシーとは
セキュリティに関する基本知識の理解、基本的なセキュリティ対策を行う能力のこと

情報セキュリティ教育の重要性

情報セキュリティ教育の重要性は、情報セキュリティを成す三つの要素と関連性があります。 

サイバーリスクを軽減し情報セキュリティを強化するには、「オペレーション」「システム」「人間」の3つの側面から考える必要があります。この三者はどれも情報セキュリティの向上に欠かせない存在ですが、相互に補完できる関係にあります。 

この三者の中でもっとも重要なのは「人間」です
その理由となるのは「オペレーション」「システム」を作るのも人間だからです。 

どんなに厳格なルールやポリシーをもったオペレーションを定めていても、実施する人間がそれを守れなければまったく効果がありません。
情報セキュリティのためのどんなシステムを構築しても、システムは人間の指示に逆らうことができません。 

この情報セキュリティの中心に位置する人間に対し、セキュリティ意識やセキュリティリテラシーを高めるために情報セキュリティ教育は重要なのです

ただ情報セキュリティ教育をするだけでは意味がない

「何かしら情報セキュリティに関する取り組みをおこなう必要があるから」「取引先から指示されたから」など、様々な理由から情報セキュリティの取り組みの一環として情報セキュリティ教育を実施する企業は多くいらっしゃいます。 

ところが情報セキュリティ教育とは意外と奥が深く、「とりあえず」「間に合わせに」実施する教育は、正直なところあまり意味がありません。 
情報セキュリティ教育とは、「教育を実施すること」ではなく、「情報セキュリティインシデントを起こさない力量を身に着けること」が求められているからです。 

そこで以下では、従業員が「情報セキュリティインシデントを起こさない力量を身に着けられる」ような情報セキュリティ教育の実施方法をご紹介します。 

また、弊社では従業員教育に役立つチェック形式Todoリストをご用意しておりますので、ぜひ本記事と併せてご活用ください! 

情報セキュリティ教育の取り組み方

ここからは、具体的な情報セキュリティ教育・研修の取り組み方について確認していきましょう。

教育で従業員に身につけてほしい知識・技能の決定

まずは教育の目的を定めましょう。
「教育を通して何を学んでほしいのか?」を明確にしていると、その後の対応が定まってきます。
情報セキュリティ全般の教育としてしまうと身に着けるべき知識・技能がぼやけてしまうため、テーマを設定して学習単位で区切って教育を行うのが望ましいです。 

例えば下記のようなテーマが設定できます。 

パスワード管理

各種のハードウェア、ソフトウェア、サービスなどの利用に際してパスワードを利用することは、今や広く普及しています。サイバー攻撃の脅威も、まずはパスワードを設定しておくことである程度避けることができます。 

しかしながら、これらのパスワードの管理については、周知徹底が行き届いているでしょうか。
正しいパスワードの設定の仕方、同一のパスワードを使いまわす危険性、保管の方法などが教育の対象となります。

電子メールの誤送信

電子メールの誤送信は最も身近なセキュリティリスクかもしれません。さらに、その内容によっては顧客に迷惑をかけたり、企業に大きな損失をもたらす場合があるものです。 

しかし、メールの「誤」送信と名前にある通り、教育により対策を行うことが可能な問題でもあります。あわせてCCとBCCの使い分けなど、メールの利用についてのルール周知も行うとより有用です。

ウイルス対策

誰しもウイルスに感染してしまえばトラブルとなり、業務の遅滞や損害に繋がってしまうことは認識しています。しかし、ウイルスの仕組みや種類、対策方法についてまできちんと理解されていることは稀です。
ウイルス対策の第一歩目がウイルスについてよく知ることであるにもかかわらずです。
ウイルスに対する理解を深め、納得して対策を実行できることも含めて、ウイルス対策についての教育が必要となります。

SNSの利用について

SNSの利用は一般的なこととなっており、従業員が個人的に利用することは規制することはできません。
しかし、公私の区別が付かず業務上の情報が流出するような事態が発生するようなことは防がなければなりません。ITリテラシーの一つとして、SNSの利用の仕方、記載してよい内容などについての教育が必要となります。 

バックアップ

セキュリティリスクの中でも情報の改ざんや破壊、端末のウイルス感染による利用不可時などに対する有効な対策として、バックアップの実施があります。問題に直面してしまう前に、正しいバックアップの取り方とデータの保管についての教育を行っておくことが必要です。 

公衆無線 LAN の危険性について

Wifiなどの公衆無線LANの利用においては、情報漏えいなどのセキュリティリスクが存在しています。情報セキュリティ教育として、危険性の周知を行い、注意点などを伝えておくことで未然にトラブルを防ぐことに繋がります。​

教育対象者の決定

教育の目的が定まったら、次に情報セキュリティ教育の対象者を選定しておきましょう。
教育対象者を定める場合には、各範囲のフォローにあたる担当者も定めておくとスムーズです。

例えば、下記のような範囲を対象と定めることができます。

  • 全従業員
  • 東京オフィスに在籍する人
  • 営業部の従業員

自社の従業員だけでなく、必要に応じて契約社員・外部委託先の社員などに教育をおこなうことも有効です。 
また、内部監査員、情報セキュリティ事務局といった、役割に応じた教育の実施も必要となります。

教育実施の頻度・タイミングの決定

次に教育実施の頻度とタイミングを決めましょう。
頻度の例としては、下記のようなものが挙げられます。

  • 毎年1度
  • 毎月1度
  • 四半期に1度

また、タイミングの例としては、下記のとおりです。

  • 毎年4月
  • 同業他社で事故が起きたとき
  • 自社でヒヤリハット・事故が発生したとき
  • 社内のルールが変更になったとき

教材の準備

セキュリティ教育の実施に向けて、教材の準備が必要となります。 

従業員に身につけてほしい知識・技能に関する内容が含まれた教材を選ぶと良いでしょう。良い教材が販売されている場合はそれを購入して利用するのも選択肢の一つです。
自社で作成してもよいでしょう。Webにて無償で教材が配布されているパターンもありますので、うまく活用しましょう。 

注意点として、情報セキュリティに関する情報は日々変化していることがあげられます。最新の情報を身に着けなければ役に立たないこともあるため、最新化が図られている教材を利用してください。 

LRM株式会社では情報セキュリティのeラーニングに特化したサービス「Seculio」を展開しています。無料で利用できる教材が40以上あり、月に一回教材の追加があるため、最新のセキュリティ事情を反映した情報セキュリティ教育が可能です。業界最安クラスの料金設定とクラウド型で利用開始時の準備のコストも削減できます。

教育実施方法の決定

教材の準備ができたら、次に教育の実施方法を選定します。
一般的な方法としては、以下のようなものが挙げられます。

  メリット デメリット
eラーニング
  • 知識の習得具合が数値化される
  • 管理しやすい
  • ネット環境が必須
外部セミナー
  • 社内になかった発想や知識を得ることができる
  • その場で質問ができる
  • セミナー会場まで足を運ぶ必要がある
社内研修
  • 自社オリジナルの内容で自由に研修ができる
  • 研修担当者に手間や負担がかかる
  • 大人数の場合はスケジュール調整や場所の確保が難しい
DVD
  • 何度も視聴可能
  • (場合により)複製可能
  • 視聴環境が必須

教育を実施

上記の準備ができたのち、教育を実施します。 
選択した方法で、準備した教材を使って教育をおこないましょう。 

セキュリティ教育Todoリストで教育の実施をチェックすることで、抜け漏れのチェックが可能です。​ 

教育の効果を測定

教育を実施する際には、合わせて効果測定もおこなうと良いでしょう。
効果測定とは、従業員が教育を受けてどの程度理解したかを把握するものです。
一般的には、下記のような方法で測定します。

テスト

教育実施後にテストを実施し、その点数によって理解度を測定

インシデント

ヒヤリハット、インシデントなどの発生数を過去の発生数と比較して測定

インタビュー

従業員へインタビューをおこない、その回答内容をもとに測定

教育実施後の見直し

効果測定が完了したら、その結果をもとに「身につけてほしい知識・技能」を従業員が身につけられたのか判断しましょう。特に効果測定で問題のある従業員がいれば、フィード・フォローを行うことも検討してください。 

もし、全体的に身につけられていないようであれば、次回の教育実施に向けて教育方法や内容を見直しましょう。 

教育実施記録の保管

最後に、教育の結果をまとめて保管しておきましょう。
過去のすべての教育記録を残しておく必要はありませんが、昨年の教育記録を確認できるようにしておくと、今年実施した教育が昨年に比べてどうだったのかを判断する材料になるため、教育方法の改善・見直しをおこなうにあたって有効です。

「力量を身に着ける」ための効果的な教育が必要

上述のとおり、情報セキュリティ教育で求められているのは「教育を実施すること」ではありません。「情報セキュリティインシデントを起こさない力量を身に着けること」です。それが「情報漏えいが起こらない組織を作ること」に繋がります。 

とはいえ、教育を実施するにあたり、気合いを入れて分厚い教材を用意・作成する必要はありません。分厚い教材や専門的すぎる教材は学習への心理的ハードルをあげてしまい、従業員のセキュリティに対する意識を下げることに繋がる可能性があります。 

​情報セキュリティ教育で必要なのは、効率的な学習です。限られた時間の中で、有効な教育をおこなう必要があります。自社にとって最適な教育のあり方を、ぜひ模索してみてください。

また、弊社では従業員教育に役立つチェック形式Todoリストをご用意しておりますので、ぜひ本記事と併せてご活用ください!

手軽に本格セキュリティ教育!
月額4千円~のeラーニングサービス

Seculioのeラーニングは40種類超の教材が標準装備!
また、新作教材を月1回で無料提供します。

まずは14日間無料で試してみる

セキュリティ対策をするセキュリティ教育
タイトルとURLをコピーしました