情報セキュリティ教育は必要? 実施方法やコンテンツ例を解説
日本国内のサイバー攻撃の件数は増加傾向で、企業の情報セキュリティリスクは年々高まっています。リスクに備えるため、多くの企業において、従業員への情報セキュリティ教育は必須といえる状況です。
本記事では、情報セキュリティ教育が必要な理由や、具体的な実施方法を解説します。併せて、情報セキュリティ教育に活用できるコンテンツ例や、従業員の教育以外にも企業が実施すべき対策を見ていきましょう。
情報セキュリティ教育の目的は事故を未然に防ぐこと
情報セキュリティ教育は、マルウェア(悪意ある不正プログラム)への感染や、機密情報の漏洩などの事故を、未然に防ぐことを目的に行う社内教育です。このような事故は、従業員の知識不足やセキュリティ意識の甘さなどによる人為的ミスで起こることがあるため、情報セキュリティ教育を通して、従業員の情報リテラシーを向上させる必要があります。また、情報セキュリティ教育には、企業ごとに異なる自社の情報セキュリティ対策と運用ルールを従業員に周知する役割もあります。
情報セキュリティ教育が必要な背景
日本国内のサイバー攻撃の件数は増加しており、その手口も多様化・巧妙化しています。東京商工リサーチの調査によると、2022年の個人情報漏洩・紛失事故は165件で、その原因は55.1%がウイルス感染・不正アクセス、26%が誤表示・誤送信、15.1%が紛失・誤廃棄、3%が盗難となっています。
従業員の情報リテラシー不足から、マルウェア感染を狙ったなりすましメールを開封する、不正なWebサイトにアクセスする、機密データを誤送信する、機密データを不用意に持ち出して紛失する、といった人為的なミスにより、情報漏洩事故が発生するケースは多くなっています。
そのような人為的ミスを防ぐためにも、企業による情報セキュリティ教育は必要です。
情報セキュリティ教育の進め方
企業における情報セキュリティ教育は、どのように進めるといいのでしょうか。具体的には、次の5つのステップがあります。
1.目的と学習テーマを設定する
学習テーマや有効な実施方法を選定するためにも、まずは情報セキュリティ教育を行う目的を明確化します。自社の情報セキュリティ関連の課題や、過去に受けたサイバー攻撃の事例などを洗い出した上で、目的を設定するといいでしょう。過去の事例などがない場合には、他社の被害事例を参考に、将来起こりうるセキュリティ事故への対策として、目的を明確化します。
目的を設定したら、課題解決のために従業員に身に付けてほしい知識やスキルを決め、それに沿った学習テーマを選びます。学習テーマは例えば、「情報漏洩リスク」「機密情報の種類と取り扱い方」「守秘義務とは」「SNSの利用ルール」「情報端末の管理方法」「最新のサイバー攻撃の手口」など様々です。
2.対象者の範囲を決める
目的や学習テーマを基に、情報セキュリティ教育の対象者を選びます。雇用形態を問わず、学習テーマの業務に関わるすべての従業員を対象に選定します。
3.実施時期・頻度を決める
情報セキュリティ教育は、情報セキュリティに対する従業員の意識が高まるタイミングに実施すると効果的です。具体的には下記のようなタイミングです。
- 情報セキュリティ教育を行うタイミング例
-
- 新入社員や中途社員の入社時
- 自社または同業他社でセキュリティ事故が発生したとき
- 社内ルールの変更時
年に1回、月に1回、半期や四半期に1回など、情報セキュリティ教育の実施頻度も決めます。学習内容の重要性に合わせてスケジュールを決めた上で、定期的に開催すると、従業員に知識や意識が定着しやすくなります。
4.実施方法を決める
情報セキュリティ教育の実施方法は、「eラーニング」「社内講師による集合研修」「外部セミナー」の3種類に大きく分けられます。学習内容や予算、受講する従業員の情報リテラシーの程度に応じて、適切な実施方法を選びましょう。以下では、各実施方法の特徴やメリット・デメリットを紹介します。
eラーニング
eラーニングの場合、パソコンやタブレットを使い、オンライン上で講座を受講します。参加者を会場に集める必要がなく、インターネット環境さえあれば、場所や時間を問わずに受講できる点がメリットです。一方で、講義ではなく動画を見続けるだけの研修内容などにしてしまうと、集合研修に比べて、受講者の集中力が続きにくい点がデメリットです。
社内講師による集合研修
社員を講師にした集合研修の場合、自社のセキュリティポリシーに合わせたオリジナルの教育内容を設定して、より具体的な運用ルールなどを伝えられることがメリットです。デメリットとしては、学習資料や会場を用意する必要があり、講師を担当する従業員の負担が大きいことが挙げられます。
外部セミナー
外部セミナーなら、講師は情報セキュリティの専門家なので、質の高い研修が期待でき、社内のリソースも割かれないことがメリットです。一方、受講費用のコストがかかる、セミナー会場まで赴く必要がある、というデメリットがあります。
5.効果測定とフォローアップを行う
情報セキュリティ教育を実施したら、受講者に確認テストやアンケートを行い、効果測定を行います。その結果、情報セキュリティ関連の知識やスキルについて問題のある従業員がいれば、フィードバックやフォローアップをします。
また、効果測定の結果を踏まえて、教育の実施方法や使用するコンテンツを見直すことも大切です。
情報セキュリティ教育のコンテンツ例
情報セキュリティ教育には、企業によって様々な学習テーマが考えられます。ここでは、業種にかかわらず効果的な4つのコンテンツ例を紹介します。
個人情報保護の基礎知識
個人情報保護の基礎知識は、業務にかかわらず、すべての従業員を対象に、個人情報の適切な取り扱いの必要性を解説する、ガイダンス的な位置付けのコンテンツです。個人情報保護法の概要や、違反した場合の罰則内容、情報が流出・漏洩した場合の企業が負うリスクや損害など、個人情報に関わる基礎知識を伝えます。
企業は顧客情報や取引先の情報、会社に所属する従業員の情報など、多かれ少なかれ、個人情報を扱っています。個人情報保護に関する教育は、取り入れておきたい学習テーマです。
情報セキュリティの運用ルール
自社のセキュリティポリシーや、機密データの取り扱い方法などの情報セキュリティに関するルールについて学ぶコンテンツは、主に従業員の入社時に行うといい学習テーマです。従業員に自社のルールを周知する研修には必須といえるでしょう。
企業が取り扱う機密情報の種類や、導入しているセキュリティソフトなどによって、運用ルールは企業ごとに異なります。
攻撃メールの種類と対策
攻撃メールの種類や対策について学ぶコンテンツは、近年増加しているサイバー攻撃に対応するために有効です。顧客になりすましたメールで、マルウェアに感染させようとするなどのサイバー攻撃の被害を防ぐには、実際のなりすましメールがどのような内容で、どのくらい巧妙なのか、従業員がその事例や対策を知っておく必要があります。
公衆無線LANの危険性
テレワークを導入する企業が増えたこともあり、社外でパソコンなどの端末を使用する従業員も少なくありません。不用意に公衆無線LANに接続してしまうと、ほかの端末からの不正アクセスや、利用者のなりすまし、不正なアクセスポイントによる通信傍受などの危険性があることを学習テーマとするのも効果的です。安全なアクセスポイントの見分け方や、社外から接続する際の社内ファイルの取り扱いルールなども、学習テーマになります。
自社でテレワークを行っていなくても、取引先や子会社が行っている場合には、テレワーク環境におけるサイバー攻撃の危険性を知っておく必要があります。
情報セキュリティ教育の無料教材
情報セキュリティ教育向けのコンテンツは、無料で提供されているものもあります。ここでは、IPA(独立行政法人情報処理推進機構)の「情報セキュリティ対策支援サイト」と、総務省の「国民のためのサイバーセキュリティサイト(旧:国民のための情報セキュリティサイト)」について、その特徴や活用方法を紹介します。
IPAの「情報セキュリティ対策支援サイト」
IPAが運営する「情報セキュリティ対策支援サイト」では、経営者、対策実践者、従業員などの対象者別に、情報セキュリティ対策において心掛けるポイントをまとめた資料(PDF・動画)が提供されています。
カテゴリ別に様々な資料が揃っているため、そのまま利用するほか、自社で教材を用意する際の参考資料として役立てることができます。
総務省の「国民のためのサイバーセキュリティサイト」
総務省の「国民のためのサイバーセキュリティサイト」は、情報セキュリティ対策を講じるための基礎知識を提供しています。中でも「企業・組織の対策」ページでは、組織幹部、従業員、情報管理担当者に向けた情報セキュリティ対策を解説しています。
また、情報セキュリティ関連の事故・被害の事例の掲載や、脆弱性の注意喚起も行っているため、研修の資料作りにも活用できるでしょう。
情報セキュリティ教育以外の有効な対策
情報セキュリティ教育と組み合わせて、セキュリティ対策ツールを活用することで、従業員の情報リテラシー不足によるリスクが抑えられます。ここでは、どのようなツールが有効なのか見ていきましょう。
ログ監視ツール
ログ監視ツールは、従業員のパソコンからのファイル操作や、Webサイトへのアクセスなどのログを監視し、不正な挙動を検知して管理者に通知するシステムです。
従業員が情報リテラシー不足によって、不適切な操作やアクセスをしようとした場合も、ログ監視ツールがあれば管理者がすぐに気付いて対処できます。
- 併せて読みたい
Webアクセス監視
Webアクセス監視ができるツールを使えば、特定のURLを含むWebサイトへのアクセスを制限できます。
従業員の適切なWeb閲覧を促進し、業務に関係ないサイトへのアクセスを防ぐことができます。
不正操作へのアラート
従業員の端末操作に対して、オリジナルのアラートを表示できるツールもあります。セキュリティリスクの高い挙動があった場合に、「許可されていないキーワードを含むアクセスのため表示できません」「業務に必要な場合は要申請」などの警告文を表示することができます。
従業員の操作に対して、セキュリティリスクがあることを都度通知できるため、従業員の情報リテラシー向上にもつながるでしょう。
情報セキュリティ教育と対策ツールの組み合わせでセキュリティを強化
情報漏洩などのリスク対策には、従業員への適切な情報セキュリティ教育が必要です。目的や学習テーマを定めて、自社に合う方法で実施しましょう。また、教育を行うだけでなく、従業員の情報リテラシー不足を補う対策ツールと組み合わせることで、さらにセキュリティ対策を強化できます。
インターコムの「MaLion」シリーズには、ログ監視やWebアクセス監視など、情報リテラシー不足の従業員による不正な操作を制御する機能があります。機密データにアクセスできる従業員を制限したり、データのコピーなどの操作を制御したりすることもでき、人為的ミスによる情報漏洩のリスクを軽減します。
情報セキュリティ対策をより強化したいとお考えなら、情報セキュリティ教育に加えて、「MaLion」シリーズの導入をご検討ください。