ISMS認証の取得・運用に際しては様々な対応が伴いますが、中でもセキュリティ教育の実施というのはなかなか骨の折れる部類の業務なのではないかと思います。
何を教育するべきなのか、どうやって準備したらいいのか、等々、考えることややることが山積みで、頭を抱えているご担当者様も多いのではないでしょうか。
本記事では、ISMSにおける教育の前提から具体的な流れまで解説します。
また、LRMでは、ISMS教育をはじめとする従業員セキュリティ教育でやるべきことを一覧化したTodoリストを無料で配布しています。ぜひご活用ください。
ISMS教育で求められていること
ISMSの規格では、「ISMSに関わる人に必要な能力を定め、適切な教育や訓練、経験を通じてその能力を確実に身に着けること」が求められています。
「必要な能力」とは何なのかというと、「情報セキュリティインシデントを起こさないためのリテラシー」や「情報セキュリティ体制を改善していくための知識や技能」と言うことができるでしょう。また、「必要な能力」を身につけるための取り組みをおこなった場合は、その取り組みが有効であったか評価をおこない、その結果を保持しておくことも求められています。
つまり、ISMSを取得する際には、
- ISMSの認証範囲に含まれる従業員が情報セキュリティに関する知識・技能を十分に備えている
- 従業員が情報セキュリティに関する知識・技能を十分に備えていることを証明できる
という必要があります。
そのため、審査では「教育を実施していますか?」「どのように力量評価されていますか?」といったような質問をされる場面がしばしば見られます。
「知識・技能を十分に備えている」ということをどのように「証明」するかというと、一般的には従業員に対してテストを実施し、その結果をもって証明するというパターンが多く、従業員に知識・技能を備えさせるために、研修やeラーニングを利用した教育がおこなわれることが多いです。
情報セキュリティに関する十分な知識・技能とは?
「情報セキュリティに関する十分な知識・技能」というのは、一体どういうことなのでしょうか。
これは、ISMSを取得するのがどのような組織なのか、その人は組織の中でどういう役割を担っているのか、といった点で大きく変わってきます。また、何をもって「十分な知識・技能」とするかは、各組織である程度自由に設定することが可能です。
下記のように対象ごとに必要な知識・技能を定めるとよいでしょう。
全従業者共通
- 情報セキュリティ全般に関する知識
-
- 事故が起こるとどうなるか
- 事例(どういったことが起こりえるか)
- 社内での情報セキュリティに関する取り組みについて(社内ルールの把握)
など
情報セキュリティ担当者・事務局
- 社内の情報セキュリティを維持するための実務知識
-
- 情報セキュリティマネジメントシステム
- 情報資産の管理方法
- 情報セキュリティ対策
- インシデントニュース
- 関連する法令
など
情報システム管理者・開発担当者
- 技術的なセキュリティ知識
-
- セキュリティを考慮したシステムの構築/開発方法
- サイバー攻撃に関する動向
など
トップマネジメント
- 社内のセキュリティへの取り組み全般に関する知識
-
- 全社的な情報セキュリティへの取り組み・体制といった状況
- 各担当者が取り組む内容
- 自社サービスのセキュリティ仕様
など
内部監査員
- 内部監査を実施する上で必要な知識
-
- 内部監査の概要
- 内部監査の進め方
- 自社のセキュリティポリシー
- 監査対象のセキュリティ体制
など
具体的な教育の実施方法
では、実際に「情報セキュリティに関する十分な知識・技能」を従業員に身に着けさせるための教育は、どのようにおこなえばよいのでしょうか。
以下では、一般的な流れをご紹介します。
同内容は、従業員セキュリティ教育Todoリストでも詳細にご確認いただけます。保存して置いていただけると便利です。
1. 対象者を確定させる
対象者は、ISMS取得範囲に含まれており、十分な知識・技能を有していない全員です。
トップマネジメントから従業者までの全員が対象者となりえます。
パートやアルバイトも含みますが、短期の採用である場合は情報セキュリティに関する教育の実施やテストまでは不必要です。(最低限社内の情報資産の取り扱いなど基本的なルールの周知は確実におこないましょう。)
社外の関係者、例えば社外取締役や委託先から派遣され自組織に常駐している他社の社員などの場合は、関わる業務や預ける情報資産の重要度によって教育を受けてもらうか判断することになります。
例えば、個人情報を扱う業務や、顧客情報の変更・削除可能な権限を付与する場合は教育を実施した方が良いでしょう。
2. 教材を選定する
ISMSの規格には、厳密に言うと「必ず教育を実施しなければならない」とは書かれていないため、「教育を実施する場合は、こういった内容を盛り込まなければならない」というような決まりも存在しません。
そのため、教育を実施する場合は、
- 自組織で働くには、最低限こういった知識を身につけておいてほしい
- この知識がない人はシステム管理者になることはできない
というように、「必要な能力」を設定し、その必要な能力を身につけられる教材を利用して教育をおこなうことになります。
なお、毎年同じ教材を使いまわしている組織の話を耳にすることがありますが、それはあまりオススメしません。もちろん、情報セキュリティにおける考え方など基本的な内容が大きく変わることはないので、そういった内容を毎年同じ教材を使って教育するというのであれば、それはむしろポイントをしっかり押さえるために有効ではあります。
ただ、セキュリティ界隈はとても変化が激しい傾向にあります。
世界的な常識、流行のサイバー攻撃手段というのは日々変化しています。古い教材を使いまわしていると、そういった時代の流れにおいていかれてしまうため、教育の有効性が低下する恐れがあります。
また、時事性のある内容や業界に特化した事故事例などは、受講者に当事者意識をもって受け入れられやすい傾向にありますので、そういった教材を利用するのは有効な教育を実施するにあたって重要です。
「セキュリオ」では、eラーニング教材のサンプルを無料公開しています。参考にしてみてください。
3. 教育を実施する
教育の対象を決めて教材を選んだら、実際に教育をおこないます。
教育の実施方法としては、メジャーどころでいうと下記のようなものがあります。
eラーニング
eラーニングは、ネットに繋がる環境であればいつでもどこでも気軽に受けることが可能です。
人を一箇所に集めたり、会場を手配したり、講師を手配したり、といった手間や費用がかかりませんし、受講結果を自動で集計・保管してくれるものも多いため、他の教育方法に比べて管理側の工数がかからない方法と言えます。
一方で、受講中にテストの答えを検索することができたり、受講者がどういった状況・態度で受講したかを管理側が把握できないといった欠点もあります。
DVD
DVD教材を使って、教育を実施するというところも多いです。
教材用のDVDを購入してしまえば、いつでも何度でも教育を実施することができます。
DVDを流すだけで良いという点で、講師を呼んだりするより手間や費用はかかりませんが、一方でDVDを視聴するための環境を整える必要があったり、DVD視聴中に受講者が居眠りや内職をおこなう危険性が高いといった欠点も見られます。
外部セミナー
外部セミナーは、社内での準備が必要ないため、管理者の工数といった観点ではとても良い教育方法です。
また、外部講師によるセミナーは、社内でおこなうセミナーよりも専門的な内容であることが多いため、専門的な知見を増やしたいという場合、外部セミナーを利用することが多いです。
※社内ルールに関することや情報セキュリティ基礎に関する内容である場合、社内の情報セキュリティ担当者が講師となってセミナーを実施する場合もあります。
一方で、移動費や参加費がかかりますし、場合によっては移動に膨大な時間がかかったり、近場で求める内容のセミナーが開催されていないという状況になることも多いです。また、大人数でのセミナーの場合、居眠りや内職であまり効果が得られないというパターンも考えられます。
グループディスカッション
「セミナー形式だと受講者が居眠りしちゃうのでは…」というような懸念を持たれる方に人気なのが、グループワーク形式の教育方法です。グループでディスカッションしながら学ぶことができれば、ただ講師の話を聞いているだけの場合よりも理解を深めることが可能ですし、内容が印象に残りやすいといった利点もあります。
しかし、積極的に参加しない受講者に対しては効果が期待できないなど、効果にバラツキが生まれますし、管理・運営側の負担も大きいです。
その他の方法
そのほか、下記のような変わり種の教育方法を活用されている組織もあるようです。
- ボードゲーム
- メールマガジン
- 啓蒙ポスター
- 標的型攻撃メール訓練
- クラッキングコンテスト
- 情報セキュリティ社歌
- 情報セキュリティ劇
- 情報セキュリティ漫才・漫談 など
なお、ISMSでは教育の実施が必須ではないのと同様に、「教育を実施する場合、必ずテストも実施しなければならない」という決まりもどこにもありません。しかし、テストを実施した方が教育の有効性を評価しやすいですし、教育実施記録として残しやすくもありますので、教育と合わせてテストを実施するパターンがとても多いです。
もちろんテストの形式に指定はありませんので、自由に作成することが可能です。
選択式でも記述式でも何でも構いません。運用面で負荷が少なく、教育効果が得られる方法を選択してみてください。
ISMS教育の実施時期・頻度
教育をおこなう場合、最低でも1年に1度は実施しておきましょう。
というのも「PDCAを1回まわすごとに最低1回実施する」必要があるからです。
※極論ですが、1年のあいだにPDCAを4回まわすのであれば、4回教育をおこなう必要があります。
加えて、下記のタイミングでも教育を実施できていれば、組織内のセキュリティレベルは底上げされるのではないでしょうか。
- 入社時
- 異動時
- ルール変更時
- 社内でヒヤリハットやインシデントがあった際
- 業界内で関連するインシデントがあった際
入社時、異動時は新しい環境やルールになるので、その時点で教育を実施できると、「こんなの知らなかった」というような知識・認識の齟齬によるミスや事故を減らすことができます。
身近な業界、場所でインシデントが発生した場合には、その内容について周知したり、「なぜこのようなインシデントが発生したのか」などディスカッションをおこなったりすることも大変有効です。
また、1年に1度しか定期的な教育を実施してはいけないという決まりはどこにもないので、「毎月1回は必ず教育を実施する」というようなルールを設けるのもよいでしょう。
効果測定
従業員が知識・技能を十分に備えているということを評価する方法についてですが、これも特に決まりはなく、明確に評価できていればどんな方法でも問題はありません。
とはいえ、点数というかたちで理解度が可視化され、評価もしやすいという利点があるため、従業員に対してテストを実施する組織が圧倒的に多いです。
そのほかの評価方法としては、例えば社内で発生したインシデントの数による評価や、従業員に一斉に標的型攻撃メールを送信して開封率で評価するといったパターンもあるようです。
評価、記録
教育・効果測定を実施した後は、その内容に問題がなかったか、見直しをおこなう必要があります。
見直した結果、教育の成果があまり見られないと判断された場合、教育方法や内容、効果測定の実施方法を見直す方がよいでしょう。
また、教育を実施した場合、実施記録を残しておかなければなりません。記録の取り方、保管方法に特に決まりはありませんので、組織が選択した教育・効果測定の方法を鑑みて、最も負担の少ない方法を選ぶと良いでしょう。
eラーニングで教育を実施した場合
例えば「セキュリオ」であれば、セキュリオ上でテストを実施・採点・集計し、結果を保管しておくことが可能です。また、Excel形式でダウンロードすることも可能ですので、セキュリオ上に残しておくのか、Excel形式でダウンロードして社内のサーバに保管しておくのか、といったことを自由に選択可能です。
集合研修の場合
集合研修実施後にペーパーテストを実施し、その結果を残しておくと良いと思います。
テストなどは実施せず、研修へ参加した全員に修了証を発行しその履歴を残すといった方法もあります。
教育をおこなわない場合
従業員に対して教育をおこなわなかった場合、どうなるのでしょうか。
上述のとおり、ISMSの規格上では、「従業員教育を必ず実施しなければいけない」とはどこにも書かれていないため、「従業員教育をおこなわない=ISMSを取得できない」ということではありません。
しかし、「従業員教育を実施せずとも、自組織の従業員には情報セキュリティに関する知識・技能が備わっている」ということを証明する必要があります。
例えば、情報セキュリティ管理者であれば情報セキュリティ管理者としての、従業者であれば従業者としての、組織のセキュリティ方針に沿ったリテラシーや知識が必要になります。
では、教育を実施したが十分な効果がでなかった場合はどうなるのでしょうか。
この場合、下記のような人的なリスクが生まれてしまいます。
- ルールが守られないため、社内統制がとれない。
- 従業員のリテラシーが低いため、セキュリティインシデント発生の危険性が高い。
- 情報の管理ができないため、組織が情報漏えいに気付けない。
守るべきルールが守られていない場合、審査では不適合となります。
セキュリティに関する知識・技能がある人を雇用したり委託先としたりするというのも一つの手ですが、会社ごとにセキュリティ体制は異なりますし、世代や環境によって倫理観にずれがある可能性もありますので、確実な方法とは言えません。
自組織が求めるセキュリティレベルを維持するにはその組織での教育がやはり重要となります。
また、ISMSで必須ではないとはいえ、日々従業員および企業のレベルアップ・知識のアップデートをおこなうためには、やはり従業員教育は必要でしょう。
Pマーク教育との違い
最後に、Pマークにおける教育との違いについて簡単に説明しておきますと、Pマークの場合は規格で「教育を必ず実施しなければならない」と決まっています。
また、教育の内容についても決まりがあり、下記のような項目を必ず含まなければなりません。
- 個人情報保護方針
- 個人情報保護マネジメントシステムに適合することの重要性と利点
- 個人情報保護マネジメントシステムに適合するための役割と責任
- 個人情報保護マネジメントシステムに違反した際に予想される結果
ISMSとはかなり異なっていることが、おわかりいただけるかと思います。
なお、ISMSとPマークの両方を取得されているところでは、年に1度、Pマークで求められている内容が含まれた教材で教育をおこない、その結果をもってISMS、Pマーク双方の審査をパスされているパターンが多いです。
「セキュリオ」では、ISMS/Pマークコンサルが監修した認証に求められる内容の教材を豊富に取り揃えております。教材のサンプルを公開しておりますので、ぜひご確認ください。
