情報セキュリティ研修は、人にまつわる情報セキュリティ対策として重要ですが、従業員からは疎ましがられてしまうことも少なくありません。
それでも、情報漏えいを起こさないためには、研修で情報セキュリティの知識を正しく伝え、適切な意識を維持してもらう必要があります。
そもそも情報セキュリティの知識にはどんなものがあるの? と言う方には、情報セキュリティ理解度チェックテストがオススメです。
自身のセキュリティ理解度がわかると同時に、カテゴリごとの設問構成・解説付きですので、研修のヒントにもなります。ぜひご活用ください。
情報セキュリティ人材の育成には研修が必須
例えば、情報セキュリティ人材を育成するには、研修が必須です。情報セキュリティ人材と言うとどこか仰々しいですが、ここでは広く捉えてみましょう。
現代では業務のデジタル化が進み、組織内の情報セキュリティ対策は重要性を増しています。したがって、組織全体の情報セキュリティ担当者だけでなく、営業部や開発部など各部門のメンバーも、日常業務で積極的に情報セキュリティ対策を行う必要があります。
現場が情報セキュリティの重要性を理解してくれなければ、人材育成の土壌は育っていきません。
過去に、セキュリティに関する事故を経験したことがあるかないかによっても、現場のセキュリティ意識は大きく異なるため、情報セキュリティの対策を怠ると、どんな事故がおこりうるのか、体系的に理解してもらえるような研修をしましょう。
また、緊急時にスムーズに対応できるよう、セキュリティインシデント(セキュリティに関する事故)の模擬訓練を取り入れるのも効果的です。
情報セキュリティ人材の育成については、「ITセキュリティの人材育成とは?その手法や必要なスキルなどを解説」で解説していますので、あわせてご覧ください。
情報セキュリティ研修のおすすめ内容
情報セキュリティの研修は幅広いジャンルがありますが、中でも特におすすめの内容を紹介します。
PCのセキュリティ
まずは、基本的なPCのセキュリティについて研修するのがおすすめです。
- ログインID・パスワードはかんたんなものになっていないか
- 席を離れるとき、画面にロックをかけているか
- 不審なファイルをダウンロードしていないか
- Wi-Fiは暗号化されているか
- ソフトウェアのバージョンが最新のものになっているか(アップデートを適用)
- OSのサポート期限は残っているか
- バックアップはとっているか
- 公衆Wi-Fiを利用していないか
業務中におけるPCの使い方についての研修は、従業員全員が理解しておくべき内容なので、まず第一歩目の研修として実施することが適しています。
また、ここに付け加える形でサイバー攻撃にも触れるのも良いでしょう。
標的型攻撃メールやフィッシングサイト、DoS攻撃といった身近かつ危険なサイバー攻撃についての理解も深め、より一層のセキュリティ意識の向上を狙いましょう。
個人情報保護法
個人情報保護法への理解は、情報セキュリティそのものの理解と密接です。
業務で個人情報を扱う機会は多いと思います。
その中で、誤操作や見落としによって個人情報の流出は容易に起きうること、そして、もし起きてしまったら甚大な被害が出かねないことを個人情報保護法を起点に理解してもらうことができます。
個人情報を流出させてしまった場合に、組織が被る影響と従業員本人が被る影響の両方を伝えることで、より危機感をもってもらえます。
ソーシャルメディアポリシー
ソーシャルメディアポリシーとは、ソーシャルメディアを使用する際のルールを示すガイドラインです。
SNSが普及し、誰もが全世界に向けた発信ができる現在、発信した情報が意図せずに悪意・敵意をもって拡散され、「炎上」してしまうケースがあります。情報セキュリティで言えば、うっかりSNSで業務上の機密を投稿してしまうケースもあります。
従業員にソーシャルメディアを利用する際の心構えと、不用意な投稿をしないように呼びかけることが必要です。
たとえば、プライベートでしか使っていないSNSアカウントで社外秘にあたる情報を投稿してしまうと、プロフィールや投稿の内容から勤務先が特定され、組織にまで被害が及ぶケースは少なくありません。
研修では、「どういった投稿が問題になるのか」「どういった影響があるのか」を伝え、必要に応じてSNSの利用ルールを設定するのもよいでしょう。
SNSアカウントの利用についてはこちらの資料を参考にしてみてください。
情報セキュリティポリシー
情報セキュリティポリシーは、「その組織にはどんな情報資産があり、どのようにして、どんな脅威から守るのか」を明確にしている基本方針です。
情報セキュリティポリシーを設定しても、認知されていなければ効果がないので、情報セキュリティポリシーを知ってもらうために、研修を実施しましょう。
情報セキュリティポリシーの策定~運用のポイントを知りたい方はこちらの資料を参考にしてみてください。
標的型攻撃メール
標的型攻撃メールは、サイバー攻撃の一種で、特定の個人を標的にメールを送信し、開封した従業員から、社内の機密情報を奪い取る攻撃方法です。
攻撃方法について伝えた後、「怪しいメールは開かない」「添付ファイルを開く前に、不審な点がないか確認する」といった、基本的な対処法を研修しましょう。
標的型攻撃メールのサンプル文面や事例が見たい方はこちらからご覧ください。
ヒヤリハット
ヒヤリハットとは、「ひやりとした場面」「はっとした場面」という語源で、危ないことが起こったが、幸い災害には至らなかった事象のことです。
ハインリッヒの法則で、多くのヒヤリハットの内の1件が重大な問題を引き起こすことになると考えられており、このヒヤリハットの件数を減らすことが、重大なインシデントを起こさない方法となります。
ヒヤリハット事例からの洗い出し、どのよう対策を今後していくか考えて、ヒヤリハットを引き起こす可能性を下げる研修が従業員には有効といえるでしょう。
そのほかのセキュリティ研修については「情報セキュリティ研修を始めよう!使える資料から、目的・実施方法まで紹介」で解説しているので、こちらもあわせてご覧ください。
情報セキュリティ研修のポイント
では、具体的に、情報セキュリティの研修はどのようなポイントに気を付ければいいか、紹介します。
研修を受ける対象者は「業務にかかわる全員」
自社の従業員全員に研修を施すのはもちろんですが、それだけではありません。
業務上関わりのある、委託先や子会社、派遣社員、業務委託社員、場合によっては取引先にも情報セキュリティ研修を実施する必要があります。
社内の情報に触れられる人物全員に、セキュリティ意識を持ってもらわなければなりません。
研修は定期的に継続することが重要
情報セキュリティ対策に必要な知識・リテラシーを一度で覚えてしまうことはとても難しく、また、その場ではしっかり学習しても、日が経てば忘れてしまいますし、セキュリティ意識が薄れてしまいます。
そのため、セキュリティ研修は定期的に、可能であれば月1回や週1回、実施することが望ましいです。
LRMの情報セキュリティ教育クラウド「セキュリオ」では、毎週配信のミニテスト(セキュリティアウェアネス機能)で継続的な従業員のセキュリティ理解度・リテラシーチェックが可能で、しっかり研修の効果を持続させることができます。
詳しくはこちらでご紹介しています。
理解度を確認する
いくら研修をしていても、理解できていなければ意味がありません。
理解度を確認するために小テストを行ったり、実践を想定したデモを行うなど、適切な対応を取るための知識が身についているか確認しましょう。
標的型攻撃メールを模したメールを疑似的に送信する標的型攻撃メール訓練の実施も効果的です。
当事者意識を育む
例えば、自身の財布は、現金や免許証、クレジットカードが入っていてとても大切なので、無くさないよう、盗まれないよう注意する人が大半だと思います。
その一方で、組織から貸与されたものであれば、無くしても直接的に自分が損をするイメージがわかないため、注意が薄くなってしまうかもしれません。
こういった感覚の差は、当事者意識があるかどうかです。
企業・組織の情報資産や端末を守ることについて、当事者意識をもってもらえるような研修を実施しましょう。
無料で受講できる情報セキュリティ研修のおすすめ
研修には「社内で実施する」「外部サービスを利用する」のいずれかの方法があります。
ですが、社内で実施する場合は、担当する社員は研修カリキュラムの準備でリソースが取られたり、講師としての充分な知識が不足していると、正しい研修を実施できないといったデメリットがあります。
一方で外部講師を招く場合は、講師料がかかりますし、社内周知、日程調整といった連絡のリソースが必要です。
これらの問題を解決する研修方法が「eラーニング」です。
eラーニングとは、パソコンやタブレット、スマートフォンを使ってインターネットを利用して学ぶ学習形態で比較的低価格で、自分の好きな場所、好きなペースで研修を実施できるのが特徴です。
そんなeラーニングによる研修の中にも、一部無料で提供しているサービスもあるので紹介します。
LRMの情報セキュリティ理解度チェックテストも参考にしてみてください。
情報セキュリティ対策支援公式Webサイト
IPA(独立行政法人 情報処理推進機構)が運営する情報セキュリティ対策支援サイトです。
多くの資料がそろっており、質問に答えるだけで自社のセキュリティ対策状況を診断することができる「情報セキュリティ診断」や、情報セキュリティを1テーマ5分で勉強できる「情報セキュリティポイント学習」といった様々なコンテンツもあります。
eラーニングとは厳密には違うかもしれませんが、無料とは思えないほど非常に有用なサイトです。
learningBOX
learningBOXは、誰でもかんたんに使えるeラーニングシステムとして知られる学習管理システムです。教材作成、問題・テスト作成、採点・成績管理など、eラーニングに必要な機能が揃っています。
また、情報セキュリティ研修はもちろん、ハラスメント研修やビジネスマナー研修、コンプライアンス研修などのコンテンツを10名まで無料で利用できるので、一度は試してみたいシステムです。
情報セキュリティ研修にはeラーニングもおすすめ
ここまでお伝えした通り、eラーニングは
- 準備不要
- 時間調整不要
- 研修場所不要
- 確認テスト不要
- 集計不要
と、研修にかかる手間や時間を大きく削減できるのが特徴です。
eラーニングを効果的に使うことにより、研修を手軽に実現できます。
弊社では、そんなeラーニングを活用した情報セキュリティ研修に役立つサービス「セキュリオ」を提供しています。
セキュリオを使いこなすことで、効率よく組織のセキュリティレベルアップが見込めます。
気になった方はぜひ、無料の資料で機能・料金をご確認ください。
まとめ
セキュリティ研修について紹介しました。
セキュリティ意識・リテラシーの低い従業員が一人いると、そこがセキュリティホールとして組織の脅威になってしまいます。
正しい知識を研修によって身に着けることができれば、自社のコンプライアンスの強化を実現できます。継続的に、研修を実施して、万が一の事態に備えましょう。
