COLUMN COLUMN
2022.11.10 /
社内の情報セキュリティ教育の重要性と実施方法を集中解説
目次
近年多くの企業では、様々な業務でコンピューターを使用したりインターネットで情報を検索したりしており、それらを使わなければ業務が成り立たない業種もあるほどです。
ところが「不正アクセスを受けて、個人情報や機密情報が盗まれ、外部に流出した」とか「ウイルス感染によってデータが破壊されてしまった」などのセキュリティインシデントのニュースが日常的に報告されています。
多くのセキュリティインシデントは、基本的な情報セキュリティの知識があれば十分防ぐことができると言われています。
また企業内のIT担当者はその業務によっては、より専門的なセキュリティ知識を知っておく必要があります。
新しいマルウェアやランサムウェアなどの新しい攻撃手法や、より検知されにくいように工夫されたウイルスが日々大量に発生しており、セキュリティインシデント自体のトレンドも変化し続けているため、定期的に情報をアップデートする必要もあります。
企業内の各部署で必要な情報セキュリティ教育を実施し共通認識として持ち続けることで、企業全体のセキュリティレベルを高く保つことがより重要となってきています。
今回は、情報セキュリティの教育がなぜ必要なのか、企業内でどのように情報セキュリティ教育を実施していくべきかなどについて解説していきます。
なぜ情報セキュリティ教育が必要なのか
情報セキュリティの教育の第一の目的は、セキュリティインシデントの防止です。
企業でのセキュリティインシデントは、そこで働くスタッフの情報セキュリティに対する知識や意識などのいわゆるセキュリティリテラシーの低さにより発生することが多くあります。
また、セキュリティリテラシーの低さは発生したインシデントの被害を拡大させる可能性もあります。
情報セキュリティ教育はそのセキュリティリテラシーの向上と社内への定着を目的とするものです。
情報セキュリティの向上のポイントは以下の3つがあります。
- 運用
- システム
- 人
「運用」とは、社内で様々な情報を扱う際の運用規則を策定し、実施することです。
社内の情報の運用においてミスをしないような方法や規則を策定することで、運用上のリスクを減らすことが重要となります。
例えば、作業を一人だけで進めるのではなく、複数の確認者が関与することを必須にするなどです。
「システム」とは、情報を操作するシステム側でミスになるような操作ができない、またはしにくいような仕組みにするということです。
例えば、操作の途中で確認画面を入れるとか、操作する際に別の管理者への承認を得ないと処理が進まなくするなどです。
「人」とは実際に業務をおこなうスタッフのことです。
実は先に挙げた運用やシステムも結局は人がおこなうものです。いくら厳密な運用規則を策定しても、何重にも確認画面や承認処理を入れたシステムを作ってもそれを操作するのは「人」です。最終的に人の手が絡む以上、作業する人の情報セキュリティリテラシーによってその効果が大きく変わってしまいます。
その点では情報セキュリティの向上には「人」が最も大事であるといえます。
すべての人に共通する情報セキュリティについて
情報セキュリティ教育では、部署単位や教育の内容単位で必要な教育にテーマを絞って行い、業務ごとに適切な知識を得ることが望ましいですが、どのようなスタッフにも共通で知っておくべき内容もあります。その中で重要な知識を抜粋して紹介します。
パスワード管理
企業内で使用する各種ハードウェアやソフトウェア、サービスなどを利用する上でパスワードを利用することは一般的です。
また最近ではクラウドサービスを中心としたビジネスも活発となっており、それぞれのクラウドサービスごとのパスワード管理が重要となっています。企業内でのパスワードの管理方法を理解し、徹底する必要性が高まっています。
たとえば忘れてしまうからと、「12345」「aaaaa」など簡単かつ予測しやすいパスワードは攻撃者に突破される可能性が高く危険です。
パスワードを設定する際はできるだけ不規則なものを設定し、同じパスワードを複数のサービスで使い回さないということを徹底しましょう。
また、パスワードを付箋に書いてノートパソコンに貼るなども、パスワードの保管方法としては明らかに間違いです。このような業務の部分までが教育の対象となります。
電子メールの誤送信
電子メールの誤送信は、近年最も身近なセキュリティリスクといえます。
誤って顧客の情報を外部に送ってしまうことはもちろん、多くの企業に同時に送信する場合に各企業のメールアドレスをCCに入れて送信することも情報流出になってしまいます。
ちょっとした不注意による誤送信が、顧客に迷惑をかけ、企業に大きな損失をもたらすリスクにもなりかねません。
送信前にダブルチェックをする、CCとBCCの使い分けなど、メールの誤送信を防ぐ利用方法について社内周知を行うことも重要です。
ウイルス対策
業務で使っているPCがウイルス感染してしまうと、情報流出や情報の消去などのリスクはもとより業務停滞や最悪の場合損害にも繋がります。
最近は各企業の状況に合わせた内容のメールを送る標的型メール攻撃による被害が多発しています。
「怪しいサイトは開かない」「送り先が不明なメールのファイルは開かない」などは基本です。
近年のサイバー攻撃のトレンドを知り、感染しやすい経路や確認方法、対策方法についても理解を深めておく必要があります。
SNSの利用について
TwitterやInstagramなどSNSの利用は広く一般的になっており、従業員の個人的な利用を規制することはできません。
しかし、業務上の情報が流出したり相手の名誉を毀損したりするような投稿はしてはいけません。もちろんこういったことは一般的なITリテラシーの一つですが、SNSの利用の仕方や記載してよい内容などについて企業内でも情報共有しながら改めて教育していくことが必要です。
バックアップ
セキュリティリスクの中でも情報の改ざんや破壊は企業としての損害も非常に大きいものです。最近被害が増えているランサムウェアなどのウイルス感染対策としてはもちろんのこと機器の故障など不可抗力によるデータ破壊にも対応できるよう、定期的なバックアップの実施が重要です。
企業として正しいバックアップの取り方とデータの保管について統一した基準を策定し実施することが必要です。
公衆無線LANの利用について
最近は社外でPC作業する光景も当たり前になっていますが、公衆無線LANを利用する場合、情報漏えいなどのセキュリティリスクが常に存在しています。
情報セキュリティ教育の中で、公衆無線LAN利用の危険性や注意すべき点を周知しておくことで未然にトラブルを防ぐことに繋がります。
また、どうしても利用せざるを得ない場合は、VPNを利用する、PCの画面を後ろから見られない場所を利用するなどの点にも注意しましょう。
個人情報の保護
近年、個人情報関連で実際に発生しているサイバー攻撃の被害や、身近で起こりうるリスクを知ることで、個人情報の取り扱いに関する意識は常に持っておく必要があります。
また個人情報の流出や取り扱いに関する事件や事故が多発している最近の状況を受けて、個人情報保護法は最近頻繁に更新されており、これまで対象外だった企業やデータも適切な取扱いを求められるようになっています。
法律の変更により、これまでの知識が通用しなくなることもあるので、最新の法律に合わせた注意点を常にアップデートする必要があります。
教育対象者の選定と身につけるべき知識・技能とは
企業で情報セキュリティ教育をおこなう上でまずおこなうのは、誰を対象にしてどのような知識や技能を身に付けさせるかを明確にすることです。
企業内での教育対象者の範囲と必要な教育を事前にまとめておくべきでしょう。
例えば下記のようなものです。
- 全般的なITリテラシー
- 基本的な情報セキュリティ
- 個人情報保護
↓
教育対象者:全従業員
- 機密情報の定義や取り扱い方法
↓
教育対象者:営業部スタッフ、経理スタッフ
- セキュリティインシデント発生時の対処法
- サイバー攻撃のトレンド
↓
教育対象者:技術部スタッフ
契約スタッフや外部委託先にも同等のレベルの情報セキュリティを持ってもらうように、スタッフに直接または委託先企業と連携して進めていくことも重要です。
また、それぞれの部署ごとにリーダーを決めて、教育の浸透度合いやインシデントが発生した際の連絡方法を確認できるようにしておく必要もあります。
実施頻度・タイミングについて
セキュリティ教育は意識が薄れないように、あらかじめ頻度や実施タイミングなどを決めておき、業務に組み込んでおく事が重要です。
頻度・タイミングの設定例としては以下のようなものが挙げられます。
【頻度】
- 毎年1回
- 毎月1回
- 半期に1回
【タイミング】
- 毎年4月
- 同業他社でのセキュリティインシデントが発生したとき
- 社内での業務ルールや規則が変更になったとき
- 自社でインシデントやひやりとするような事案が発生したとき
教育実施方法について
いよいよセキュリティ教育の実施についてですが、主な実施方法には以下のような方法が挙げられます。
それぞれの方法にメリット・デメリットはありますし、各企業によって合っている方法も異なるかと思います。
部署ごとや実施の規模のよって実施方法が変わる場合もありますので、それぞれの方法を検討してみてください。
社内研修
メリット
自社の業務内容などに合わせた内容を自由に設定して実施できる
デメリット
研修担当者の手間や負担が大きい
大人数での実施の場合は、参加者のスケジュール調整や開催場所の確保が困難
自社の業務内容に合わせて教育項目などを自由に設定して研修ができるため自由度は高いですが、資料作成や参加者のスケジュール調整、会場準備など
担当者の負担は大きく、通常業務を並行して実施するには手間や負担が多くなってしまいます。
資料や実際の教育を外部委託する方法であれば、費用は少しかかりますが担当者の負担をある程度軽減できる可能性もあります。
外部セミナー
メリット
社内では得られにくい発想や新しい知識を得ることができる
その場で質問や確認ができるので、疑問が残りにくい
デメリット
セミナー会場まで行って参加する必要がある
セキュリティ分野の専門家が解説してくれる外部セミナーは、自社内では得られにくい発送や新しい専門的な知識を得られ、
その場で分からないことがあれば質問や確認ができるメリットがあります。
ただし、多くの外部セミナーは参加費用が高額な場合があるため会社としての負担が大きくなりがちです、また、セミナー会場まで行って参加する必要が
あるため、通常業務をしながらセミナーに参加する時間をどのように確保するかを考える必要があります。
eラーニング
メリット
会社の就業時間内など比較的自由なタイミングで参加できる
知識の習得具合が数値化でき、参加状況なども管理しやすい
デメリット
インターネット環境が必須
スタッフごとの参加状況や教育の進捗状況などが一目でわかりやすく、管理も楽です。
ただし、インターネットに接続できる環境が必須なので、実施場所によっては参加が制限される可能性があります。
DVD
メリット
何度でも視聴できる
デメリット
DVDプレイヤーなど視聴環境が必須
研修会場で多くの参加者に映像を見せて研修する場合は何度も繰り返し利用でき、DVDを複製することで複数会場での実施も可能です。
ただし、DVDプレイヤーなどの機器が必要であり、また最新の情報へのアップデートも必要なため逆に管理が大変な場合もあります。
教育の効果測定
教育を実施すると同時に効果測定もおこなうと実施効果がより明確になるでしょう。
効果測定とは、教育を受けたスタッフがその内容をどの程度理解したかを把握するものです。
最も一般的な測定方法は、教育後にその時に出た知識を問うテストを実施し、その点数によって理解度を測定するものです。
教育を複数回実施していても、従業員の理解度が低いままといったケースは多く見られます。これでは、セキュリティ教育の効果が低く、万が一セキュリティインシデントが発生したときに適切な対処ができず、結局大きな損失を招いてしまうおそれがあります。
セキュリティ教育の効果を測るためにもチェックは欠かせません。テストにより従業員をスコアリングして評価し、教育の理解度を確認します。また理解度の低い従業員に対しては、再度の教育を実施します。
また、スタッフに直接インタビューをおこない、研修で学んだ内容を質問しその回答内容によって実際に理解しているかを判断し効果を測定したり、セキュリティ教育後に発生したセキュリティインシデントの数を比較したりすることでも効果測定が可能です。
教育実施後
情報セキュリティ教育の目的は「教育を実施すること」ではありません。
参加者が情報セキュリティインシデントを起こさない知識や技術を身につけること、そしてそれを維持・継続することです。
それが「情報セキュリティインシデントが起こらない組織を作ること」に繋がります。
参加者の教育後のテスト結果などの記録を確認できるようにしておくと、実施した教育の理解度が前回と比べてどうなったかを判断する材料になるため、今後の教育方法の改善や見直しを行う際にも有効です。
まとめ
情報セキュリティ教育では、最新の脅威に対する正しい知識を、1人でも多くのスタッフに効率的に継続的に教育することで知識を定着させ、情報を正しくアップデートしていく必要があります。
「蟻の一穴天下の破」ということわざもあります。
すべてのスタッフが一朝一夕に、情報セキュリティインシデントを起こさない知識や技術を身につけることは簡単ではありませんが、継続することによって確実に積み上げていくものでもあります。
本記事が、企業様にとって最適なセキュリティ教育の方法を見つける参考になれば幸いです。
弊社では、新入社員からセキュリティ人材までの幅広い層に対応したeラーニングを提供しています。お気軽にお問い合わせください。