大企業による情報漏洩や、標的型メール攻撃などの事例が公になるたび、社内での情報セキュリティ教育の重要性が叫ばれています。しかし担当者のなかには、「実施したいが、具体的にどうすればいいのかが分からない」「教育に割ける時間や予算があるかどうかが不安だ」といった声をよく耳にします。
この記事では、情報セキュリティ教育を行う具体的な方法を5つのステップでご紹介します。中小企業でも取り組めるような内容になっているので、ぜひ参考にしてみてください。
社内で情報セキュリティ教育を行う重要性
社内で情報セキュリティ教育を行うことで、従業員の過失や不正などを防ぐ「人的対策」が可能になります。それぞれが高いリテラシーをもって業務に取り組むことで、より強固なセキュリティ体制を構築できるでしょう。
そもそも情報セキュリティには、「技術的対策」「物理的対策」「人的対策」の3種類の考え方が存在します。
技術的対策は、ファイアウォールやWAF、ログ管理システムなどを導入して、技術的な側面から行うのが特徴です。物理的対策においては、不法侵入を防ぐために生態認証を導入したり、書類の破損・紛失を防ぐために鍵付きのキャビネットで保存したりするなど、物理的な側面から対策を行います。
なかでもとりわけ重要なのが、「人的対策」です。人的対策では、従業員のセキュリティリテラシーを向上させて、過失による情報漏洩やウイルス感染を防ぎます。
とくに、技術的対策や物理的対策とは違い、一度仕組みを構築するだけでは完全な対策がなされません。そのため、定期的に情報セキュリティ教育を実施し、社内のだれもが脅威への対応を行えるようにする必要があるのです。
最近では、誤操作や置き忘れ、紛失などによる情報漏洩が多発しています。情報セキュリティ教育を実施することで、こうした人的な要因による被害を最小限にとどめることが可能です。
社内で情報セキュリティ教育を実施する目的
社内で情報セキュリティ教育を行う目的は、「セキュリティの脅威へ対応するための能力を身に着けさせる」ことです。単に、従業員の知識を増やすことではない点に注意しましょう。
よくあるのが、運用過程で、教育すること自体が目的に変化してしまうことです。たとえば、セキュリティテストを実施して従業員の理解度を測るとしましょう。テストによって知識量を確かめることはできますが、それ自体が目的になってしまうと、いざ情報漏洩やサイバー攻撃の脅威に直面したときの、実践的な対応力までは身に付きません。
教育はあくまでも、「手段」であることに留意しましょう。情報セキュリティ教育を通して、「従業員が最終的にどうなっているべきなのか」を常に意識しながら進めることが重要です。
社内で情報セキュリティ教育を実施するステップ
ここでは、社内で情報セキュリティ教育を実施するための手順を、5つのステップでご紹介します。
1.情報セキュリティポリシーの作成
社内で情報セキュリティ教育を実施するには、まず、情報セキュリティポリシーを作成する必要があります。情報セキュリティポリシーとは、企業のセキュリティを維持するための、方針や行動指針、社内規定、対策基準などを定めたものです。
情報セキュリティポリシーを作成しておくことで、「どのようなことを教えればいいのか」「教育で何に重点を置くべきなのか」などが明確になります。すでに作成済みの企業であれば、既存の内容を見直したり、修正を加えたりすることで、よりよい情報セキュリティ教育を実施できるようになるでしょう。
情報セキュリティポリシーにおいて定める項目の例は、以下です。
- セキュリティ基本方針
- 情報資産の機密性ランク
- 個人情報取り扱い時の規定
- 文書管理の規定
- システム開発時・変更時の規定
- PCやUSB、業務用スマホの持ち出しに関する規定
- ソフトウェアインストールの規定
- ネットワーク管理の規定
- SNS利用時の規定
実際に作成するには、情報セキュリティポリシーの責任者を選任し、期間や役割分担、範囲などを明確にしながら、スケジュールに沿って進めていきます。組織にとって実現可能な内容にしたり、対象者の範囲を明確にしたりすることで、より教育へ活用しやすい内容へとブラッシュアップすることが可能です。
2.教育対象者の洗い出し
情報セキュリティポリシーを作成したら、次に、教育対象者を洗い出します。基本的には、アルバイトなどの非正規社員も含めた全従業員が対象です。
以下で、教育対象者として挙げられる役職や勤務形態を列挙します。
- 社長
- 役員
- 社員
- アルバイト
- 派遣社員
- 契約社員
- 業務委託先
役職や勤務形態によって扱う情報の種類が異なるため、それぞれに合わせた教育内容を考えることが大切です。また、情報システム部門や営業部門など、部署によって扱う情報が違います。アクセスする情報資産の種類に合わせて教育対象者をグループ分けすることで、より効率的な教育が可能になります。
3.教育するタイミング・頻度の決定
情報セキュリティ教育を、どれくらいのタイミングや頻度で実施するのかを決定します。具体的には、以下のようなシーンが考えられます。
- 月に1回や3か月に1回などの定期
- 年初や期首・期末などの区切りのよいとき
- 社員の入社時・研修時
- 業務委託先の業務開始時
- 社員の昇進・部署異動時
- 情報セキュリティポリシーの更新時
- 社員の違反行動が発覚した直後
情報セキュリティ教育の頻度があまりにも多すぎると、本来の業務に支障が出てきます。そのため、定期的に実施する際は、「月に1回」や「3か月に1回」など、ある程度の期間を空けて設定することがおすすめです。
部署異動などの人事変更が発生したタイミングや、気持ちを一新しやすい年初などのタイミングで実施すると、より効果的な教育が可能になるでしょう。
4.教育手段の決定
情報セキュリティ教育の大枠が決まったところで、どのような手段を用いて実施していくのかを決定しましょう。以下で列挙するように、さまざまな方法があります。
| 内容 | メリット | デメリット | |
|---|---|---|---|
| 社内研修 | 社内の人材を活用し、対面式の講義を実施。 | 自社に合わせた独自の教材を作成できる。 | 教材の準備やスケジュール調整に、時間や手間がかかる。 |
| 外部セミナー | 社外の専門講師を呼んで、対面式の講義を実施。 | 教材の作成に時間がかからない。 | 教材内容が自社の実情に合致しないことがある。 |
| 教育本・パンフレットの配布 | 社内や外部で作成した本やパンフレットを、社員や取引先へ配布。 | 場所にとらわれず、自分のペースで学習できる。 | 3文字やイラストでしか伝えられないため、理解しづらい内容もある。 |
| DVD | 教育内容をDVDへ収録し、社員や取引先へ配布。 | 一度作成すれば、準備をせずに何度も教育ができる。 | 流し見されてしまったり、視聴されなかったりすることがある。 |
| eラーニング | 社内や外部の教材をインターネット上へアップロードし、非対面型の講義を実施。 | 学習状況を管理できる。通信環境さえあれば、どこからでも学習できる。 | システムや教材の導入に費用がかかる。 |
上記の教育手段は、教育対象者によって使い分けたり、複数を組み合わせて使ったりするとより効果的です。自社に適した教育手段を選択し、効率的な情報セキュリティ教育を実現しましょう。
5.教育の実施
最後に、教育の実施です。自社で策定した情報セキュリティポリシーに則り、対象者に合わせた内容で教育を行います。教える内容の例は、以下です。
- ウイルスやビジネスメール詐欺など、組織を狙ったサイバー攻撃の種類
- 実際にサイバー攻撃の被害を受けた事例
- 基本的な対策方法や心構え
- 個人情報の取り扱いやデバイスの扱い方に関するレクチャー
- 被害が発生した場合の連絡方法
- 周知事項を守らなかった場合の罰則
教育を実施する際のポイントは、教育対象者が自分事だと捉えられるような内容にすることです。実際に発生したサイバー攻撃や、自社で起こった情報漏洩の事例などを紹介することで、より効果的に伝えられるでしょう。
社内の情報セキュリティ教育で失敗しないためのポイント
ここでは、社内で情報セキュリティ教育を実施する際に、失敗に終わらせないためのポイントを3つご紹介します。
疑似訓練を取り入れる
社内で情報セキュリティ教育を実施する際は、座学で知識を詰め込むだけでなく、実際に同じような場面を想定して行う「疑似訓練」を取り入れることが効果的です。疑似訓練では、フィッシングやビジネスメール詐欺を模したメールを送り、従業員がどのように対処するのかを確認していきます。
事前に予告して実施するのもいいですが、普段の業務中に不意に送信すると、よりリアルな反応が得られるでしょう。添付のファイルを開いたり、URLをクリックしたりした社員がいたら、直後に教育行うことで、高い学習効果を得られます。
なかには、標的型メール攻撃の訓練サービスを提供する会社もあるので、自社のリソースが足りないような場合は積極的に活用してみましょう。
取り組みを継続する
情報セキュリティ教育は、一度実施して終わりではありません。フォローアップ教育を行ったり、教材の内容を定期的にブラッシュアップしたりすることで、社員が正しい知識を身に着けられるようになります。
情報セキュリティ教育の取り組みを継続していくためには、効果測定が欠かせません。従業員の理解度を測るために、テストを実施したりチェックシートを配布したりするのがおすすめです。
また、教育を実施した後と前で、どれくらいのセキュリティインシデントが発生したのかを記録することも効果的な取り組みです。得られた結果はデータとして記録し、組織のセキュリティリテラシーがどれくらい向上しているのかを把握します。
上記のように、数値などの目に見える形で現状を確認できれば、情報セキュリティ教育を継続して実施することが容易になるでしょう。
外部のセキュリティ教育資料を活用する
教材を作成するノウハウが社内にない場合や、外部教材を購入するための予算が割けない場合は、インターネット上で無料公開されている資料を活用するのがおすすめです。
たとえば、以下のようなものを活用することが可能です。
- 中小企業の情報セキュリティ対策ガイドライン(独立行政法人情報処理推進機構)
- 映像で知る情報セキュリティ(独立行政法人情報処理推進機構)
- インターネットの安全・安心ハンドブック(内閣サイバーセキュリティセンター)
- 情報セキュリティ理解度セルフチェック(NPO日本ネットワークセキュリティ協会)
- セキュリティ対応組織の教科書(日本セキュリティオペレーション事業者協議会)
上記のどれも、営利を目的としない団体から発行されており、公共性が非常に高いため、社内で利用する価値があるでしょう。自社の状況に合わせて資料を追加したり、修正を加えたりすることで、より効果的な教育ができます。
社内で情報セキュリティを実施し、リテラシーを向上させよう
この記事では、社内で情報セキュリティ教育を実施する重要性や目的、具体的な手順などについて解説しました。近年多発する、情報漏洩や標的型攻撃を防ぐためにも、従業員の教育は必須です。
実際に実施する際は、自社で作成した情報セキュリティポリシーに則って行うことがポイントです。教育手段には、対面型の講義やeラーニングなどさまざまにあるので、教育対象者や業務に合わせた導入が求められます。
情報セキュリティ教育で失敗しないためには、継続的な取り組みや、教材のブラッシュアップが欠かせません。ぜひ今回ご紹介した内容を参考に、社内での取り組みに役立ててみてください。
