情報セキュリティ教育は、セキュリティ意識の向上には必要不可欠です。
現在の企業活動ではPCを日常的に業務で利用してはいますが、職員が隠れたセキュリティ上の危険につい無頓着になってしまう、といったことは残念ながら少なくありません。
ただ、情報セキュリティ教育をポリシーの理解や、事故の予防のために効果的に行う方法となると、これもあまり容易なことではないことが知られています。
テレワークで情報セキュリティに関する意識を向上する必要性が上がる中、どのように教育を企画し、実施したらより効果的になるのでしょうか。
この記事では情報セキュリティ教育のポイント・実施方法の工夫、また、参考になる資料などを紹介します。研修計画の参考にしていただけますと幸いです。
また、情報セキュリティ教育でやるべきことToDoリストを無料で配布しています。本記事と併せてご活用ください。
情報セキュリティ教育とは
情報セキュリティ教育とは、情報セキュリティ意識の向上を目的として行われます。
情報セキュリティポリシーなどの大事なポリシーの内容を伝えるとともに、情報セキュリティポリシーを守ろうとする企業風土づくりを目標にして行います。そこで、対応内容は以下2点と考えられます。
情報セキュリティポリシーを周知徹底
企業における情報セキュリティポリシーは、今やどの企業にも必須のものですが、ポリシーの中で、特に留意して遵守すべきポイント・ヒヤリハットが起きやすい事例と、ポリシーでどのように回避しているか、ポリシーはどのように役に立つのかの啓蒙を行うことが重要です。
受講者に、もしもこのポリシーがなかったら、どうなってしまうのかを理解してもらうことが特に重要な内容になります。個別のアクセス権はどうしてこのように管理しなければならないのか、手続きはどんな事象の予防に役立つのかなど、ポリシーの価値を知ってもらうようにしましょう。
情報セキュリティの脅威と対策を知る
情報セキュリティの脅威は、年々更新されます。というのも、情報セキュリティに対する脅威を抑え込むと、その上を行く脅威が年々出てきてしまうためです。この「いたちごっこ」はなかなか止まらないものです。
そこで、ポリシーも更新されることがありますし、更新内容は新しい脅威を紹介するとともに、遵守を呼びかけることが有効です。
新しい脅威に対してもポリシーはある程度有効なものであることを知ってもらうためにも、新しい脅威を紹介し、既存のポリシーのどこが関係するのかを理解してもらいましょう。
脅威とともに、新しく導入したサービス・機器等に合わせて、更新されるポリシーもあります。サービス・機器の取り扱いもポリシーに落とし込まれることがありますが、機器に対応するポリシーの変更がありうることを理解してもらうことがポイントです。
ここ10年で、クラウドサービスの普及、スマートフォンを業務で使うことが増えてきたことなど、サービスや機器にも大きな変化がありました。ポリシーも追いつくようにして改定があったはずです。今後もこうした変化が起こるはずです。
情報セキュリティ教育は全ての従業員が対象
業務委託先・協力会社のメンバーに対しても、セキュリティポリシーを遵守してもらうため、社員である職員と同様に研修を受けてもらうことが必要です。外注を使うことは必ずしもリスクが高くなることではありません。
外注が社内の基準とは外れた情報管理をしていることが問題になるのですが、これはSLA(Service Level Agreement、サービス仕様書)でコントローするべきことになります。教育研修の必須受講ももちろんSLAの内容に入れておきましょう。
情報セキュリティ教育は複数タイミングで実施
情報セキュリティ教育は、次のようなタイミングで行うとよいでしょう。
- ポリシーの適用開始時
- 年次での定期実施
- ポリシー変更時
- 事件/事故/ヒヤリハット発生時などポリシー違反発覚時
- 新人/3年目フォローアップ、昇格者、管理職研修などの階層またはグループ別研修時
年に1度の研修は最低限必要ですが、もう少し短い時間内で受講できる研修を年に1度は最低全員に受けてもらうようなスケジュールを立てることもよいでしょう。
また、新人や、昇格により職務領域が広くなる職員などは、より事故やオペレーションミスなどのリスクが高いグループと一般的に考えられます。情報セキュリティ教育に限らず、様々な教育が施されるタイミングとなるでしょうが、情報セキュリティ教育もプログラムに必ず入れておくようにしておきましょう。
情報セキュリティ教育の実施方法は座学やeラーニングなど
情報セキュリティ教育の実施方法は、座学やeラーニングを行うことにより行います。
研修の最初に自己点検チェックシートなどで、ポリシー遵守度合をみるなどすると、受講者は当事者意識が芽生え、一方的に受け身で受講することにならないでしょう。
また、自社で過去に発生した事例は、今後も起こると思っておいた方がよいでしょう。そのため、こうした事例を織り交ぜると、より自身の問題であるととらえられて、効果的です。
ハイリスクグループに入る職員、管理職などは特に「情報セキュリティ読本」などを課題図書として読ませ、テストにより理解度をみるのも効果的です。
そのほか、教育研修の一部として
- ミニクイズをメールで出して答えてもらう
- フィッシング訓練・スパムメール対応訓練など訓練を行い、その後にフォローアップメールでミニ講座の動画配信を行う
などの方法も効果的です。
どれだけ自分のこととしてとらえて、日ごろから警戒してもらえるか、情報セキュリティ部門も工夫を重ねていますので、それぞれの企業にあったやり方を探求してみましょう。
LRMのご提供する「セキュリオ」では、eラーニング・標的型攻撃メール訓練・自動配信のミニクイズといった情報セキュリティ教育に効果的な機能が満載です。
情報セキュリティ教育の記録は必須
情報セキュリティ教育の記録を行うことは必須です。ISOやPマーク認定などの要件として、情報セキュリティ教育の記録が求められています。
それと、万が一の事故を起こしてしまった場合に、情報セキュリティ教育をどの程度行っていたかは、再発防止策を検討するためにも重要な分析材料になるからです。誰にいつ、どのような教育をしたか記録して、全員にもれなく教育を実施する必要があります。
また、事故後・新人研修後・新手のセキュリティに対する脅威が迫っていると考えられるなど、状況と必要性に応じてフォローの教育を実施することが望ましいです。
ISMSにおける情報セキュリティ教育については、「ISMS教育では何をすればいいの?求められている事から、具体的な実施方法まで」をお読みください。
情報セキュリティ教育に有効な資料とは
情報セキュリティ教育に有効な資料は、現在次のようなサイトにまとまっていて、非常に便利です。
このサイトは、IPA(独立行政法人 情報処理推進機構)が管理していますが、警察庁・情報セキュリティベンダーなど、多くのサイトを参照するリンク集が掲載されています。
また、このサイトは、テレワークのセキュリティについてもまとめられています。
上記ポータルサイト内からもアクセスできる、
- セキュリティハンドブック(IPA発行)
- 小さな中小企業とNPO向け情報セキュリティハンドブック
(内閣サイバーセキュリティセンター発行)
それと、ポータルサイトにあるセルフチェックは課題に使えますし、企画担当者が材料を仕入れるためにとても役に立ちます。
まとめ
情報セキュリティ教育は、最終的には「情報セキュリティポリシーを正しく理解し、実行する企業風土づくり」が目標になります。
この目標を達成するには、教育研修の回数・関心を持ってもらう工夫双方が必要ですので、企画をする担当者は、ぜひ発信力を向上させるようにしてみましょう。
具体的なセキュリティ教育の手順をまとめた資料はこちら。併せてご活用ください。
