顧客情報の流出や、クレジットカード情報の流出など、近年では多数の重大なインシデントが発生します。万が一、自社で同じことが起きてしまったら、会社の信頼を大きく揺るがしかねません。
そんな状態になる前に、情報セキュリティについて、従業員全員が学ぶ必要があります。
情報セキュリティの教育を効率良くしようとしても、自社内で研修を行うのは会場を選定したり、資料を作成したり、業務中に時間を確保したりなど骨が折れますよね。
ですが、現在は情報セキュリティの教育に役立つサービスが多数存在します。
そこで、今回はセキュリティ教育を実施する際に、様々なサービスを紹介します。
また、LRMではセキュリティ教育を、eラーニング・標的型攻撃メール訓練・独自のセキュリティトレーニング機能…といった複合的な方法で効率的・効果的に実施できる、情報セキュリティ教育クラウド「セキュリオ」を提供しています。
情報セキュリティ教育とは?
情報セキュリティ教育は、重大なインシデントを防ぐために事前に対策やその知識を伝え、従業員のセキュリティリテラシーを高める教育のことです。
セキュリティリテラシーとは、セキュリティに関する基本知識の理解、基本的なセキュリティ対策を行う能力のことです。
企業や組織におけるセキュリティ事故は、そこに所属する従業員の意識問題により、従業員本人にとって些細な問題から、大きな被害に繋がることが多々あります。
これを防ぐべく、従業員一人ひとりのセキュリティ意識の向上、セキュリティリテラシーの向上及び自社セキュリティポリシーの周知のために行う教育を情報セキュリティ教育といいます。
情報セキュリティ教育の実施により従業員のセキュリティリテラシーを高めることは、企業の根本的な情報セキュリティ対策の1つなのです。
情報セキュリティ教育の実施方法については、こちらの記事もご参照ください。
情報セキュリティ教育によって解決できる課題
情報セキュリティ教育によって、巧妙化しているサイバー攻撃から自社の情報を守ることができます。
情報セキュリティを強化するには、「オペレーション」「システム」「人間」の3つの視点から考える必要があります。
「オペレーション」はマニュアルやルールです。
- 〇〇時に〇〇時から〇〇の操作をする
- 〇〇のトラブルがあったときに〇〇の操作をして上長に報告する
と言うように、プロセスを明確にすることで、適切な対応ができます。
「システム」は、OSのバージョンを最新にする、ウイルススキャンのツールを使う、パソコンのセキュリティ対策、ファイアウォールといった、システムの対策です。
「人間」は、従業員のセキュリティ意識を高めて人為的な情報漏洩を防ぐことです。
いずれも大事な要素ですが、この中で一番大事なのは人間の情報セキュリティ意識を高めることです。
理由は「どんなセキュリティ対策にも人が関わるから」です。
OSのアップデートをするのも、ツールを使ってセキュリティチェックをするのも、パスワードを漏洩させないよう、人に口外しないよう意識するのも、全て人間が「これくらい大丈夫だろう」と思ってしまったが最後、様々なセキュリティ対策が意味がありません。
どんなシステムを人間の指示に逆らうことができないし、どんなに厳格なルールやポリシーであっても人間が守らなければまったく効果がありません。
従業員の情報セキュリティ意識を高めることは、企業のセキュリティ対策において一番重要です。
情報セキュリティ教育の種類
情報セキュリティ教育の種類は以下の3つです。
- 公開講座(従業員が外部へ赴く研修)
- 講師を社内に招いて開催(単一企業向け研修)
- eラーニングサービス(オンライン)
自社リソースでの対応が難しい、といった場合にまず思いつくのが、外注による教育です。
外注する場合は「公開講座」「外部講師を社内に招いて開催」「外部のeラーニングサービス」の主な三つですがそれぞれ特徴があります。
「公開講座」は、従業員が講座を開催している研修に参加するものです。オープンとも呼ばれ、様々な企業の参加者と一緒に研修を受けます。単一企業向け研修より安価かつ情報の正確性が高い反面、リソースを割き、当日は社員が現地へ向かわなければならないデメリットがあります。
「単一企業向け研修」は、講師が直々に自社に赴いてくれるため、時間のロスが少なく、専門的な研修を受けられます。その反面、公開講座やオンラインの講座よりもコストが高くなりやすくなります。
「eラーニングサービス」はオンラインで研修を受けられるため、在宅ワークにも対応でき、異動のコストがかからないのが魅力です。
とくにeラーニングについては、他の講座よりもコストが安いのが一般的で、多くの企業で採用されています。
弊社でご提供している「セキュリオ」は、ISMS/Pマークコンサル監修の豊富な教材によるeラーニング・今や必須となった標的型攻撃メール訓練、独自のセキュリティトレーニングといった各種機能が備わり、一者様6,000円/月~と業界最安クラスの料金となっております。
情報セキュリティ教育の導入事例
「サイバーセキュリティトレーニング」(株式会社 日立ソリューションズ・クリエイト)
株式会社 日立ソリューションズ・クリエイトが提供する「サイバーセキュリティトレーニング」は、ホワイトハットハッカーが、教材の作成・講義を行うのが特徴のサービスです。
講義では、サイバー攻撃を受けたときの動き、マルウェア感染が拡大する様子を映像で疑似体験でき、ノウハウや、スキルの取得以外にも、セキュリティ意識の向上に大きく貢献します。
株式会社 東証システムサービスは、日本取引所グループ(JPX)の情報系・売買系・清算系に係る各種システムの開発・運用を行う企業で、「脅威体験」「体験談」「対策方法」から、最新の実践に役立つスキルを修得できる感じサイバーセキュリティトレーニングを導入。
セキュリティに関する課題・改善事項を見つけることに成功しました。
「CyberDefence」(株式会社サイバーディフェンス研究所)
サイバーディフェンス研究所が提供する、CyberDefenceは、「Webアプリケーション」「ネットワーク」「組み込み機器」「IoTデバイス」「制御システム」「ソーシャルゲーム」など、様々なシステムを対象に“ハッカーの思考”にもとづくハッキングを仕掛け、脆弱性を診断します。
月間6,000万人以上が利用する日本最大の料理レシピサービス「クックパッド」を運営している、クックパッド株式会社。
情報流出をすると、顧客だけでなく、取引先や広告主からの信頼も失う可能性を孕んでいることと、事業規模の拡大に伴い、リリースされている新サービスに対して、セキュリティを確保する必要があります。
そこでクックパッド株式会社は「ペネトレーションテスト」という、悪意ある第三者による攻撃を過去の事例に基づいて実践的にホワイトハットハッカーがシステムに侵入することで、脆弱性を炙りだすテストを毎月実施しています。
そこで、クックパッドでは、セキュリティレベルを常に高いレベルで維持すべく、定期的なペネトレーションテストの実施を決定しました。
企業がリリースしている情報セキュリティ教育サービス
情報セキュリティ教育関連のサービスを展開している企業はいくつかあります。
ここでは、そのいくつかの企業についてサービス内容をみてみましょう。
大塚商会「一般向け情報セキュリティ講座」
SI(システムインテグレーション)の老舗、大塚商会が実施している一般向け情報セキュリティ講座です。
「フィッシング」「標的型攻撃」「スパイウェア」「ランサムウェア」などなど、常に脅威に晒される可能性があるサイバー攻撃について解説。
これらの知識がない人材でも、セキュリティ対策ができるように「知らないメールアドレスから送られれ来たファイルは開かない」などといったルールを共有することにより、セキュリティ対策する講座を展開しています。
来場・出張型の両方の企業研修を実施しており、会場のレンタルも可能なため、自社の都合に合わせた運用ができます。
情報セキュリティ講座・教室 | 大塚商会の人材育成支援サービス
情報セキュリティの教室・講座なら大塚商会の人材育成支援サービス。情報セキュリティマスターを育成する企業研修、教室・講座の各種サービスをご紹介。
JBサービス「SecuLiteracy」
JBサービス株式会社のSecuLiteracy(セキュリテラシー)は、スコアリングされた情報に基づいて、各企業に置ける最適なトレーニングを実施できるのが強みです。
従業員のリテラシーに合わせて、試験・動画・ゲームなど、様々な形で教育を実施したり、フィッシングメールやビジネス詐欺メールなどの訓練メールをユーザーへ送付し、従業員の対応を判断するなど、自社のリテラシーの可視化ができます。
セキュリティ教育サービスSecuLiteracy|JBサービス株式会社
見逃しがちなセキュリティ対策といえば従業員に対するセキュリティ教育です。SecuLiteracy(セキュリテラシー)とは、様々なサイバー攻撃のテクニック・ツール・ノウハウ等に精通した認定ホワイトハッカーがご支援するセキュリティ教育サービスです。企業・組織のセキュリティレベルの向上・可視化を実現したい企業・組織の方々にお…
GSX 「セキュリティ教育サービス」
GSXのセキュリティ教育サービスは、日本初のセキュリティ全体像を網羅した教育メニューを提供します。
EC-Councilセキュリティエンジニア養成講座による社内セキュリティ人材の育成、業界シェアNo.1*であるトラップメール(GSX標的型メール訓練サービス)® やITセキュリティeラーニングサービスのMina Secure ®(ミナセキュア)によって従業員のセキュリティリテラシー向上を目指し、全社のセキュリティアウェアネス向上を支援します。
*出典:ITR、標的型攻撃メール訓練サービス市場 従業員1,000~5,000人未満 2019年度 ベンダー別売上金額シェア
サイバーセキュリティ教育カンパニー | グローバルセキュリティエキスパート株式会社(GSX)
GSXはサイバーセキュリティ教育カンパニーです。「教育」と「グローバル」という観点を各事業の軸に据え、お客様へセキュリティへの気づきを与え、セキュリティ市場を活性化する事で、日本の情報セキュリティレベル向上に貢献します。
LAC 「ラックセキュリティアカデミー」
ラックセキュリティアカデミーは、情報セキュリティを確保すため、高いレベルのでセキュリティリテラシーを理解したプロフェッショナル人材の育成するのを目的としたサービスです。
特定の人材を作るための「担当者育成プログラム」や組織全体のセキュリティ力を高める「一般社員向けコース」など、それぞれの人材に合わせた教育支援を実施できます。
数々のメニューを用意しており〇日〇万円のように日程と予算が明確。
専門分野以外のセキュリティ教育を補填するという考え方で利用可能です。
情報セキュリティ教育サービスについては、こちらの記事でも作成しています。
情報セキュリティ教育なら「セキュリオ」がおすすめ
情報セキュリティ教育なら「セキュリオ」がおすすめです。
情報セキュリティ教育クラウド「セキュリオ」は、情報セキュリティに対する、従業員のセキュリティ意識と組織のセキュリティレベルを同時に底上げできるツールです。
「セキュリオ」を監修しているLRM株式会社はISMS認証やISO認証の取得コンサルティングで日本屈指の実績のある企業です。
従業員が普段の業務からセキュリティに関する意識をもって情報セキュリティ対策に取り組むための機能や、ISMS・Pマークの認証取得を検討中または取得済みの企業が、より快適に認証運用するための機能もまで完備しています。
- 「eラーニング」や「標的型攻撃メール訓練」といった情報セキュリティ教育機能
- 「PDCAサイクル」や「サプライチェーンセキュリティ」をといった認証運用支援機能
「セキュリティチェック」や「セキュリティダッシュボード」をはじめとしたセキュリティ可視化機能を利用することで、「人」と「会社」の両面から情報セキュリティレベルを向上することが可能です。
会社全体の情報セキュリティ改善を実現できます。まずは無料トライアルでお試しください。
まとめ
情報セキュリティ教育に利用できるサービスについて解説しました。
情報セキュリティ教育では正しい知識を、1人でも多くの社員に効率的に教育するのを継続的に行う必要がありますが、自社のリソースだけで研修を定期的に行うのはあまり現実的ではありません。
ぜひこの機会に、便利なセキュリティトレーニングの利用を検討してみてください。
