情報セキュリティ研修とは?最新の情報セキュリティ動向も交えて解説

この記事は約9分で読めます。
2022.04.13

情報セキュリティ研修は、情報セキュリティにおいて最も影響力のあると言える「人」による情報セキュリティリスクを最小限にするために不可欠です。

一方で、情報セキュリティ研修は、適切に実施しなければまるで意味のないものになってしまいます。
そもそも研修とは従業員にとって退屈なものですし、ましてやセキュリティなんて、業務の邪魔くらいにしか思われていない場合も多いですよね。

それでも、情報漏えいをおこさないためには、情報セキュリティの知識を正しく伝え、適切な意識を維持してもらわなければなりません。

本記事では、効果的な研修について、利用できるコンテンツやサービスのご紹介とともに解説します。

また、企業の情報セキュリティ研修・教育をスムーズに実施できる ToDo リストを無料で配布しています。専門家のノウハウが詰まった内容になっていますので、ぜひご活用ください。

従業員教育の手順が一覧化された
チェックリストを無料で提供しています。
チェック形式Todoリスト資料はこちら
チェックリスト画像

情報セキュリティ研修の重要性

一般社団法人 日本損害保険協会の「中小企業のリスク意識・対策実態調査 2022」調査結果報告書によると、中小企業の経営者および従業員の84.1%がサイバーリスクに、81.6%が情報の漏えいに、経営課題として関心があると回答しています。

中小企業を取り巻くリスク意識調査2022 | 中小企業に必要な保険 | 日本損害保険協会
企業を取り巻くリスクに対する意識・対策実態調査を実施。社会情勢や自然災害、長引く感染症の影響など、企業を取り巻くリスクは多様化しており、中小企業のリスク対策の意識も高まりつつあります。
www.sonpo.or.jp

サイバーリスクについては、企業の規模にもよりますが、企業内で保有するデータの重要性や量などが関係する問題です。
企業の規模というより、取り扱い情報の量や、その重要性によっては、中小企業でも大きな被害に繋がる可能性があります

企業がセキュリティリスクを軽減するにはオペレーション」「システム」「人間」の3つの側面から考える必要がありますが、この中でもっとも重要なのは人間です。
オペレーションにおけるルールを定め、システムを利用したとしても、利用する人間によってセキュリティ事故が起きてしまう可能性は残るからです。

従業員一人一人のセキュリティリテラシーが低いと、セキュリティ被害を受ける可能性が高まってしまいます。
内部からの守りを固めるため、セキュリティリテラシーを向上させるために情報セキュリティ研修が不可欠なのです。

特に新入社員に向けた情報セキュリティ研修は必須

企業内で人的な脆弱性となり得てしまうのが、言わずもがな新入社員です。
新入社員には、情報機器やデータを取り扱う前に適切な研修を受けていないと、かんたんにサイバー攻撃の餌食になりかねません

そのため、はじめに情報セキュリティ研修を行い正しい知識や行動を身に付けさせることが大切です。

事前に知識のない新入社員にとっても、情報セキュリティについて体系的に学べ、ポイントを押さえることができる研修は効率の良い学習方法です。

適切な研修により、被害の具体例や、近時の攻撃者の手口、被害予防のポイントなどを習得できます。
研修を行うと、こうした特に重要となるポイントを意識づけ、業務に向かえるレベルの情報セキュリティリテラシーを身に付けることが可能になるのです。

近年のサイバー攻撃の動向

独立行政法人情報処理推進機構IPA)では、毎年「情報セキュリティ10大脅威」をまとめて発表しており、サイバー攻撃におけるトレンドを押さえることのできる情報源となっています。

2023年版の組織における情報セキュリティ10大脅威を少し見てみましょう。

1位:ランサムウェアによる被害

独立行政法人情報処理推進機構ではランサムウェアについて以下のように解説しています。

ランサムウェアと呼ばれるウイルスに PC やサーバーが感染すると、端末のロックや、データの暗号化が行われ、その復旧と引き換えに金銭を要求される。さらに、暗号化だけではなく、重要な情報を窃取されることもあり、その情報を公開すると脅す。このように複数の脅しを組み合わせる(四重脅迫等)ことで、ランサムウェアに感染した組織が金銭を支払わざるを得ない状況を作り出そうとする。

独立行政法人情報処理推進機構 「情報セキュリティ10大脅威2023」

ゲーム大手「CAPCOM」の事例なども記憶に新しいところです。
ランサムウェアについては、「恐ろしいファイル改変の被害!ランサムウェアのメール感染の対策」で詳説していますので、参考にしてください。

恐ろしいファイル改変の被害!ランサムウェアのメール感染の対策
データを誘拐し、高額な身代金を要求するランサムウェア。メールや偽サイトを通じて知らないうちに感染していた…そうなってしまわないために、また、感染してしまった場合に備え、よくある手口から、事例、対策方法までしっかり把握しておきましょう。
www.lrm.jp

2位:サプライチェーンの弱点を悪用した攻撃

独立行政法人情報処理推進機構ではサプライチェーンの弱点を悪用した攻撃について以下のように解説しています。

商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼ぶ。攻撃者はそのサプライチェーンを悪用し、セキュリティ対策の強固な関連企業・サービス・ソフトウェア等は直接攻撃せずに、それ以外のセキュリティ対策が脆弱なプロセスを最初の標的とし、そこを踏み台として顧客や上流プロセスの関連企業等、本命の標的を攻撃する。
また、もう1つのサプライチェーンとして「ソフトウェアサプライチェーン」もある。これはソフトウェア開発のライフサイクルに関与する全てのモノ(コード、ライブラリ、プラグイン、各種ツール等)や人(開発者、運用者等)の繋がりであり、ここを狙った攻撃も行われている。

独立行政法人情報処理推進機構 「情報セキュリティ10大脅威2023」

自社と取引先や委託先とで共同で使用しているソフトウェアの脆弱性に対してサイバー攻撃を仕掛けられることで、間接的あるいは段階的に攻撃の対象とされるのがプライチェーンの弱点をついた攻撃です。

この攻撃を受けることで、自社だけでなく取引先へも被害が拡大する恐れがあります。

サプライチェーンのリスクマネジメントについては、「サプライチェーンリスクマネジメントとは?内容やポイントを解説」で詳しく解説していますので、参考にしてください。

サプライチェーンリスクマネジメントとは?内容やポイントを解説
企業における情報セキュリティは「自社内だけ対策を実施すればよい」というフェーズを過ぎてしまった...
www.lrm.jp

3位:標的型攻撃による機密情報の窃取

独立行政法人情報処理推進機構では標的型攻撃について以下のように解説しています。

標的型攻撃とは、特定の組織(官公庁、民間団体、企業等)を狙う攻撃のことであり、機密情報等を窃取することや業務妨害を目的としている。攻撃者は社会の変化や、働き方の変化に便乗し、状況に応じた巧みな攻撃手法で機密情報等を窃取しようとする。

独立行政法人情報処理推進機構 「情報セキュリティ10大脅威2023」

標的型攻撃メールスピアフィッシングなどの手法を用いた攻撃により、被害が拡大しています。

詳細については「標的型攻撃のメールを開いてしまったらどうする?具体的な対応を解説」で詳しく解説にしていますので、参考にしてください。

標的型攻撃のメールを開いてしまったらどうする?具体的な対応を解説
企業や組織にとって脅威となる標的型攻撃。その被害は甚大であり、各種の対策を行って避けるべきもの...
www.lrm.jp

自社で独自に情報セキュリティ研修をする場合のコンテンツ例

研修を行う際には、できるだけ信頼できる先の資料を用いて行うのがよいと考えられます。

例えば、以下のような研修資料は、無料のものが大半で、内容が信頼できるものばかりなのでおすすめです。
公的な資料をそのまま利用したい場合にはこれらの資料を活用して研修を行うのがよいでしょう。

独立行政法人情報処理推進機構(IPA)

JPCERT コーディネーションセンター

特に新入社員向け研修に利用しやすい資料は以下の通りです。

内閣サイバーセキュリティセンター

小さい会社でも無理なく展開することが可能な、以下のような資料もあります。

また、少し工夫して、上でご紹介した資料らを組み合わせるのもよいでしょう。
特に業務に密接なもの・最近警戒したほうが良い事例などを重点的に紹介することも受講者に強く印象付けられるので効果的です。

現在提供されている情報セキュリティ研修サービスを紹介

一方、「受講者の意識を確実に上げたいが、自社向けに研修資料をカスタマイズするための人手や、専門要員の不足が心配」場合には、外部のサービスを使うのもよいでしょう。

eラーニングでのコンテンツの提供のほか、クラウド上で受講管理・効果測定もしてくれるサービスもあります。例えば、後ほど詳しくご紹介する「セキュリオ」はその代表的なものです。

「セキュリオ」には、フィッシング詐欺に対応する訓練などのプログラムもあり、より実践的な効果の高い研修を行うことができます。

さらに、座学で専門講師を派遣するサービスや、技術者を特にターゲットにする高度な研修を提供するサービスもあり、用途に応じてサービスを選ぶことができます。

費用はかかるものの、研修のための用意をしなくてよいので、時間と工数を割くことは必要ありません。
eラーニングコンテンツの場合の受講管理・テストなどの効果測定もサービスの一部として提供している場合は、特に簡単です。

新入社員向け情報セキュリティ研修なら「セキュリオ」

新入社員向け研修におすすめなのが「セキュリオ」です。

「セキュリオ」なら十分新入社員のレベルを既存の社員レベルまでアップすることができます。
情報セキュリティ教育クラウド「セキュリオ」の eラーニングを使えば、新入社員向け情報セキュリティ研修も 3 ステップでラクラク・効果的に実施できます。

ISMS/P マークコンサル監修の安心の教材が80以上の中で、新入社員向けの教材も多数取り揃えております。

ご利用できる教材については、こちらでサンプルを公開しております。貴社に合う教材があるかどうか、お確かめください。

また、「セキュリオ」では、今や必須となった標的型攻撃メール訓練独自のセキュリティトレーニングで従業員のセキュリティレベルアップ、日ごろからの意識向上を実現できます。
まずは14日間の無料トライアルで、従業員教育を始めましょう。

効果につながるセキュリティ教育
「セキュリオ」を無料で始める

まとめ

セキュリティに関する十分な知識がない従業員はセキュリティの脆弱性となってしまいます。その一方、正しい知識を研修により身に着ければ、セキュリティの脅威を効果的に予防することができます。

研修のコンテンツは、公的機関の信頼できる無料コンテンツのほか、外部の研修サービスを利用することが可能です。準備に手間や人手がかからない外部のサービスも上手に使いながら、レベルアップを図り、脅威を予防することをおすすめします。

従業員教育の手順が一覧化された
チェックリストを無料で提供しています。
チェック形式Todoリスト資料はこちら
チェックリスト画像
情報セキュリティ対策認証取得を目指すセキュリティ教育リスクマネジメント
従業員教育
タイトルとURLをコピーしました