デバイス活用マガジン「モビナビ」
デバイス管理の“ できない” を“ もっとできる” に変えるマガジンです。
当社サービスだけでなく、様々な角度で情報を発信しています。
- モビナビ
- 情報セキュリティ概要・トレンド
- 情報セキュリティ教育とは?実施方法や手順をわかりやすく解説
情報セキュリティ教育とは?実施方法や手順をわかりやすく解説
インターネットの普及により、ネット上での情報管理が当たり前となった昨今、情報セキュリティ教育は企業で重要な課題の一つです。たった一通のメールが重大なセキュリティ事故に繋がった、という事案は後を絶ちません。このようなリスクから組織を守るためには、従業員に対する情報セキュリティ教育の徹底が必須です。そこで今回は、「情報セキュリティ教育」の重要性と、実施方法や手順についてわかりやすく解説していきます。
この記事の目次[表示する]
MDM導入のご検討・
ご相談はこちら
情報セキュリティ教育とは
「情報セキュリティ教育」とは、情報セキュリティ事故を防ぐため、従業員ひとりひとりのセキュリティ意識向上を促すための教育です。基本的なセキュリティ知識を教育することで、情報機器やコンピューターシステムの使用者が誤った操作や判断を行わないよう注意喚起することができます。
また情報セキュリティ事故の要因は、サイバー攻撃やウィルス感染といったものばかりではなく、自宅へのデータの持ち出しや情報端末の紛失、SNSでの情報公開も含まれます。これらは、セキュリティ意識の低さが招いた人為的な要因です。どれだけ優秀なセキュリティシステムを構築しても、それを利用するのは結局のところ「人間」です。そのため、正しい知識と対策方法を従業員一人ひとりが身につけてセキュリティリテラシー、つまりセキュリティに関する基本的な理解を高めることが事故を防ぐための基本的な対策になります。
「このメールは何かおかしいところがある気がする」「公衆無線LANは情報漏洩のリスクがあるから使わないでおこう」など、セキュリティ意識の高い従業員を育てて、セキュリティ事故を未然に防ぎましょう。
情報セキュリティ教育を実施する重要性
サイバー攻撃の手口は日々更新されており、毎年たくさんの企業が被害に合っています。総務省の「令和2年版情報通信白書」に掲載された、トレンドマイクロ「法人組織におけるセキュリティ実態調査2019年版」では、セキュリティインシデントによる国内の年間平均被害総額が1社あたり2.39億円となり、4年連続で2億円を超えていると発表しました。
ウィルス感染による「個人情報の流出」や「不正アクセスによる企業の機密情報漏洩」は、損害賠償や企業イメージの低下により、企業の存続さえもおびやかす甚大な被害を与えてしまうのです。「情報セキュリティ教育」は企業に利益を生むわけではありませんが、教育を実施することでセキュリティ事故の発生率を確実に下げ、大きな被害から企業を守ることにつながります。多様化する「情報セキュリティ事故」を未然に防ぐためにも、起こりうる事故に対抗できる知識を従業員一人ひとりに教育していきましょう。
情報セキュリティ教育の研修方法
では具体的に、どのような方法で研修を行うのが効果的なのでしょうか。
代表的な研修方法は以下の3つです。ここからはそれぞれの研修方法のメリットとデメリットについて解説していきます。
- 自社で実施する
- 研修を外注する
- eラーニングを活用する
自社で実施する
自社で研修を行う場合、自社のシステムやこれまでの事例に合わせた内容で研修を実施できるのが大きなメリットです。ニュースで見るような企業の情報漏洩のニュースは、どこか違う世界のことと捉えがちで「うちの会社に限って…」と研修に身が入らない従業員もいます。しかし、自社でこれまでどんな事故が起こったのか、または起こりそうになったのかなど、身近な環境で発生した事案であれば当事者意識を持ちやすく、研修に真摯に向き合う社員が増えるのです。
また、講師費用や研修先への交通費が必要ないので、外注に比べるとコストがかからないのがメリットです。ただ、自社で一から研修担当者の選任や研修教材を準備する必要があり、時間と労力が必要になります。そのため、研修担当者が準備のために本来の仕事が出来なくなってしまうことや、研修の決定から実施まで時差が出てしまうのがデメリットといえるでしょう。
研修を外注する
研修を外注する場合は、外部講師を会社に招いて行う方法と、公開講座に行く方法があります。いずれにしても教材準備のための人員確保や手間が必要ないこと、「情報セキュリティ教育」のスペシャリストから幅広い知識を学べるのがメリットです。ただし、ひとくちに「情報セキュリティ教育」といってもテーマはさまざまです。自社に必要なテーマか、参加する従業員の知識レベルに合っているかを基に、受講する講座を決定するよう気を付けましょう。
一方で、自社のケースに対応した内容ではない場合があることや、コストかかってしまうことがデメリットとして挙げられます。
受講費用もそうですが、遠方の講座を受講する場合には交通費や宿泊費が必要となる場合もあるので、忘れずに比較対象とするようにしましょう。外注できる研修先としては「インソース」「LEC東京リーガルマインド」などが有名です。
eラーニングを活用する
eラーニングとは「electronic learning」の略で、パソコンやスマートフォンなどのモバイル機器とインターネットを利用した学習方法です。オンライン化が進む現代で新たな研修方法として注目されています。
eラーニングはオンライン上で行われる研修方法のため、講師と受講者が同じ研修会場に集まる必要がありません。そのため時間や場所にとらわれず、従業員それぞれのペースで学習をすすめられるので業務に支障をきたしにくい点がメリットです。さらに1度の受講だけでなく納得いくまで繰り返し学習できるので、より確実に研修内容を習得できます。
また、研修の進捗状況や理解度テストが一括管理できるうえ、一度導入してしまえば何度でも使用可能なので、初期費用以外はコストを抑えられるなど企業側のメリットも多くあるのが特徴です。ただし、個人それぞれのペースで受講することになるので、研修に対するモチベーションにバラつきが出る、実務的な研修は行えないといったデメリットもあります。eラーニング研修を提供しているサービスでは、「NTT東日本」「Panasonic」などが有名です。
情報セキュリティ教育の実施手順
具体的な研修方法が決まったら、以下のような流れで研修準備を進めましょう。いつ、誰に、どのようなタイミングで実施するのが効果的なのか、各項目で詳しく見ていきます。
- 対象者を決定する
- 実施タイミングを決定する
- 教材を準備する
- 教育方法を決定する
- 教育の効果測定を行う
1. 対象者を決定する
基本的に「情報セキュリティ教育」は、社内で情報を扱うすべての人に必要です。情報の重要度に関わらず、業務で機密情報にたずさわるすべての社員を対象にしましょう。
機密情報というと、企業の上層部しか知らないような重大な情報という印象を持つ人も多いと思います。もちろんそういった会社の財務情報や開発途中の製品情報なども入りますが、それだけではありません。企画書や仕入れ価格、従業員の個人情報、顧客情報も大切な機密情報です。そのため、研修の対象は正社員だけでなく契約社員や外部委託先の社員も対象にする必要があります。そうすることで、思わぬところからの情報漏洩を防ぐことにつながるのです。なお、管理職の従業員は仮にセキュリティ事故が発生した場合に最初の通報先となることも多いので、別途研修を行うことがおすすめです。いざというときに最善の行動ができるよう、準備しておきましょう。
また、教育が必要な社員を選定するために、標的型メールを用いた訓練を行うのもおすすめです。「標的型メール訓練」とは疑似的な攻撃メールを配信し、それを開いてしまったセキュリティ意識の低い社員を選別できるものです。情報セキュリティについて理解しているつもりでも、実践となるとうっかりメールを開封してしまう社員は少なくありません。一度引っかかることで本人のセキュリティ意識の向上にもつながるので、セキュリティ意識のレベルを判断するために試用してみてもよいでしょう。
2. 実施タイミングを決定する
「情報セキュリティ教育」は繰り返し研修を行うことが大切です。一度の研修では社員間での理解度に差が出てしまったり、時間が経つと忘れてしまったりするケースは意外と多いものです。以下のよう決まったタイミングで繰り返し研修を行い、いざというときに適切な判断ができるよう教育していきましょう。
- 月に1回
- 半年に1回
- 同業他社で事故が起きたとき
- 自社で事故が起きた時、または起きそうになったとき
- 社内で情報セキュリティに関するルールが変更になったとき
特に自社で事故が起きた、または起きそうになったタイミングは身近な事象のため、研修に対する社員の向き合い方が格段に上がります。効果的なタイミングを見極めて、効率よく研修を実施してください。
3. 教材を準備する
研修を外注やeラーニングで行う場合は、自社で詳しい資料を準備する必要はありません。しかし、自社で研修を行う場合は教材の準備が必要になります。ひとくちに「情報セキュリティ教育」といってもパスワードの管理法からバックアップ、ウィルス対策などテーマはさまざまです。教材の準備は、「社員に習得させたい内容が含まれているかどうか」に注意して用意するとよいでしょう。
また最近では、総務省や情報処理推進機構(IPA)などの信頼できる公的な機関から、情報セキュリティ関連の資料がインターネット上で無償公開されています。さまざまなテーマの最新情報がわかりやすくまとめてあるので、基本的な「情報セキュリティ教育」には十分な資料です。いちから資料を揃えるより、手間も時間もかからないので自社で資料を作成するときは参考にしてみてください。
なお、教材を準備する際はセキュリティ事故が起こった際の通報窓口を整備し、事故発生から通報までの流れを併せて周知するのがおすすめです。通報窓口がはっきりすることで、事故発生時にも慌てず速やかに対応することができます。
4. 教育方法を決定する
教育方法のメリットとデメリットは以下の通りです。それぞれの特徴から自社にぴったりな研修方法を決定してください。
メリット | デメリット | |
---|---|---|
自社で研修をおこなう |
|
|
研修を外注する |
|
|
eラーニングを活用する |
|
|
5. 教育の効果測定をおこなう
どんな研修にも当てはまりますが、研修後は従業員がどれだけ研修内容を理解できているか教育の効果測定を行う必要があります。どれだけすばらしい研修内容でも理解度には個人差が出ますし、研修に対するモチベーションは人それぞれです。中にはセキュリティリスクを軽く考えている人もいるので、効果測定を行うことで理解度が低い従業員へ再教育を行いましょう。一人でもセキュリティ意識の低い従業員がいるだけで、重大なセキュリティ事故は起こりうるのです。
また、理解度を測定することで「セキュリティ教育」の実施効果が明確となるので、今後はどのような点に留意して教育を進めるべきなのか、今後の教育方針も決めやすくなります。せっかくの研修内容が無駄にならないよう、研修後は以下のような方法で効果測定を実施しましょう。
- 研修直後や、一定の期間をおいて「理解度テスト」を実施する
- 研修の実施前後で、不正サイトへのアクセスや重大なセキュリティ事故の件数を比較する
- 疑似的な「標的型攻撃メール」で不審なメールを見極められるかチェックする
まとめ
今回は、「情報セキュリティ教育」の実施方法や手順について解説してきました。大切なのは、「セキュリティ教育は一度やったら終わりではない」ということです。セキュリティ事故の要因は日々進化しており、さまざまな手法で企業を狙っています。進化し続ける脅威に打ち勝つためには、常に新しい情報にアップデートし、定期的な教育を積み重ねることが大切です。
研修に参加する従業員も、研修直後はセキュリティ意識が上がり、メールを一通ひらくだけでも慎重になります。しかし数ヶ月後、どれだけの社員が同じ危機感をもって過ごしているでしょうか。先にも触れたように、どれだけ優秀なセキュリティシステムを構築しても、それを利用するのは結局のところ「人間」です。今回の記事を参考に、社員一人ひとりのセキュリティ意識を継続的に向上させ、企業一丸となってセキュリティ事故への防衛力を高めていきましょう。