Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
目 次
情報セキュリティ教育とは?
情報セキュリティ教育はなぜ必要?
情報セキュリティ教育を行う前に策定しておくべき「セキュリティポリシー」
情報セキュリティ教育を行う手順
情報セキュリティ教育に活用できる資料
情報セキュリティ教育とあわせて活用したいIT資産管理・MDM「LANSCOPEエンドポイントマネージャー クラウド版」
まとめ
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
情報セキュリティ教育とは、マルウェア感染や情報漏洩といったセキュリティ事故を未然に防ぐ目的で行われる社内教育です。
近年の増加・高度化するサイバー攻撃に対抗するべく、セキュリティ製品を導入している企業・組織は多いでしょう。
しかし、どのようなセキュリティ製品を活用していても、情報を扱う従業員のセキュリティリテラシーが低ければ、重大なインシデントを招く危険性があります。
そのため
- セキュリティ事故が発生しやすい場面・アクション
- セキュリティ事故が発生した場合のリスク
- 情報の取り扱い方
- ログイン情報の管理の仕方
などを情報セキュリティ教育内で共有し、注意喚起を行う必要があります。
この記事では情報セキュリティ教育の必要性や実施手順などを解説します。
情報セキュリティ教育で使用できる資料も紹介していますので、ぜひ参考にしてください。
▼この記事を要約すると
- 情報セキュリティ教育とは、セキュリティ事故を未然に防ぐ目的で行われる社内教育
- 情報セキュリティ教育が必要な理由は、従業員のセキュリティリテラシー不足が重大なインシデントにつながる危険性があるから
- 情報セキュリティポリシーを事前に策定しておくことで、IT管理者は教育実施時に何を強調すればよいのかの判断ができるようになり、従業員も何を意識すればよいのかが明確になる
- 情報セキュリティ教育を行う際は、「1.テーマの設定」「2.対象者の選定」「3.実施時期・頻度の決定」「4.実施方法の決定」「5.効果測定」という手順で行うのが一般的
情報セキュリティ教育とは?
情報セキュリティ教育とは、セキュリティ事故を未然に防ぐ目的で行われる社内教育です。
具体的には
- 流行しているサイバー攻撃
- セキュリティ事故が発生しやすい場面・アクション
- セキュリティ事故が発生した場合のリスク
- 情報の取り扱い方
- ログイン情報の管理の仕方
などのテーマで従業員にセキュリティに関する正しい知識を身に着けてもらいます。
こうした教育を行っておくことで
「ランサムウェアが添付されたメールを安易に開き、社内ネットワークに感染が拡大して業務が継続できなくなる」
「従業員が機密情報を許可なく持ち出して紛失してしまい、情報が漏洩する」
といった事態を防ぐことにつながります。
情報セキュリティ教育はなぜ必要?
情報セキュリティ教育が必要な理由は、従業員のセキュリティリテラシー不足が重大なインシデントにつながる危険性があるからです。
※セキュリティリテラシー…セキュリティについて理解し、適切にセキュリティ対策を行える能力
株式会社東京商工リサーチが2024年1月に発表した調査結果によれば、2023年の個人情報の漏えい・紛失事故は175件でした。
出典:東京商工リサーチ| 2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分(2024年1月19日)
原因の内訳を見てみると、「ウイルス感染・不正アクセス」が53.1%、「誤表示・誤送信」が24.5%、「不正持ち出し・盗難」が13.7%となっています。
出典:東京商工リサーチ| 2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分(2024年1月19日)
つまり
- 巧妙な「なりすましメール」を開いてマルウェアに感染する(ウイルス感染)
- クラウドの設定やメールの送信先を誤る(誤表示・誤送信)
- 機密情報を勝手に持ち出す(不正持ち出し)
など、従業員のセキュリティリテラシー不足は情報漏洩に直結してしまうのです。
仮に企業・組織が情報漏洩事故を起こした場合、社会的信用が低下するだけでなく、顧客への損害賠償など多大な被害を受ける可能性があります。
また、感染したマルウェアの種類によっては、情報が漏洩するだけでなく、重要なデータを暗号化されて身代金を要求されることもあります。
こうした事態を防ぐためにも、情報セキュリティ教育によって企業・組織全体のセキュリティリテラシーを底上げすることは必須といえます。
情報セキュリティ教育を行う前に策定しておくべき「セキュリティポリシー」
セキュリティポリシーとは、企業・組織が実施する情報セキュリティ対策の方針や行動指針を指します。
セキュリティ対策には多くの考え方や方法論が存在し、ほとんどの場合は一定の効果を見込めます。しかし、現実的に全ての対策を理論通りに実践することは難しいでしょう。
そのため、まずは組織の業務や扱う情報を分析し、基本ポリシーとして組織のセキュリティ対策方針を定め、文書化します。
それにより、IT管理者は教育実施時に何を強調すればよいのかの判断ができるようになり、従業員も何を意識すればよいのかが明確になります。
セキュリティポリシーの内容は、企業・組織の規模、保有する情報資産、体制などによって異なるため、自社にあったものを策定する必要がありますが、一般的には以下の項目を含むとよいとされています。
| 情報セキュリティ基本方針 | 組織として情報セキュリティに取り組む方針を策定した基本的な文書 | 情報セキュリティ方針 | 情報セキュリティマネジメントをするための社内体制や役割、責任を記載した文書 | 情報セキュリティ対策規定 | 実際に取り組むセキュリティ対策を記載する文書 | 情報セキュリティ対策手順書 | 情報セキュリティ対策を行うために利用するソフトウェアやハードウェアの操作手順書 | 記録、台帳類 | 情報セキュリティポリシーを適用する資産の台帳や、実施した内容の記録 |
|---|
セキュリティポリシーについては以下の記事で詳しく解説していますので、ぜひあわせてご覧ください。
情報セキュリティ教育を行う手順
情報セキュリティ教育を行うには、以下のような手順で進めるとよいでしょう。
1.テーマの設定
2.対象者の選定
3.実施時期・頻度の決定
4.実施方法の決定
5.効果測定
1.テーマの設定
まずは、情報セキュリティ教育を通して従業員に「何を学んでほしいのか」というテーマを設定します。
テーマの例としては
- 情報漏洩のリスク
- 機密・個人情報の取り扱い方
- 最新のサイバー攻撃
- SNSの利用の仕方
などがあります。
情報セキュリティについて網羅的に学ぶことも重要ですが、テーマが広すぎると知識の定着が難しくなります。
そのため、身に着けてほしい知識・技術ごとに区切ってテーマを設定しましょう。
2.対象者の選定
テーマが設定できたら、対象者を選定します。
基本的には、社内の情報に触れる可能性がある従業員全員を対象者としましょう。
雇用形態は問わず、アルバイトや派遣社員も対象に含めるようにしてください。
また、過去には業務委託先の派遣社員が機密情報を不正に持ち出した事例もあるため、業務委託先の担当者や従業員も対象に含めるとよいでしょう。
3.実施時期・頻度の決定
情報セキュリティ教育は、従業員の情報セキュリティへの関心が高まっているタイミングで行うとより効果的です。
例えば、自社の関連企業で情報漏洩などのセキュリティ事故が起きたときなどが挙げられます。
他にも
- 新入社員や中途採用社員が入社したとき
- 昇進したとき
- 部署を移動したとき
- セキュリティポリシーの運用を開始したときや内容を変更したとき
などに行われることも多いです。
また実施頻度は年に1回や半期に1回などテーマの重要度にあわせて決定するようにしましょう。
あまり実施頻度が高すぎると、参加を苦痛に感じる従業員も出てきてしまうため、注意してください。
4.実施方法の決定
情報セキュリティ教育の実施方法は主に以下の3つがあります。
1. 社内研修
2. 外部セミナー
3. eラーニング
それぞれのメリット・デメリットは以下の通りです。
| メリット | デメリット | |
|---|---|---|
| 社内研修 | ・自社のセキュリティポリシーに合わせたオリジナルのテーマを設定することが可能 | ・講師を務める従業員が教材や会場の準備などを行わなければならないので負担が大きい |
| 外部セミナー | ・専門家による質の高い教育が受けられる ・社内のリソースが割かれない |
・受講費が発生する ・会場まで足を運ぶ必要がある ・テーマが自社のセキュリティポリシーと合致しない場合もある |
| eラーニング | ・場所、時間を問わず受講できる ・受講状況が確認しやすい |
・インターネット環境がないと受講できない ・個人のモチベーションに依存する |
一つの方法だけで行うのではなく、複数の方法を組み合わせて実施するとより効果的です。
5.効果測定
情報セキュリティ教育実施後は、確認テストなどを行って、教育の効果を測定しましょう。
確認テストの結果に問題がある従業員がいた場合は、フォローアップを丁寧に行い、理解度が低い状態を放置しないようにしてください。
また効果測定により、理解度が不足している従業員が多数いた場合には、実施方法やテーマの見直しも検討しましょう。
情報セキュリティ教育に活用できる資料
ここでは情報セキュリティ教育に活用できる資料をご紹介します。
IPA「情報セキュリティ・ポータルサイト」
IPA(独立行政法人 情報処理推進機構)の「情報セキュリティ・ポータルサイト」では、新入社員、経営者、一般社員・職員、IT・セキュリティ担当者など対象ごとに目を通しておくべき資料がまとめられています。
総務省「国民のためのサイバーセキュリティサイト」
総務省の「国民のためのサイバーセキュリティサイト」では、セキュリティ対策の基礎知識を学ぶことができます。
サイト内にある「職場での対策」では、システムを利用する人向けの対策、システムを管理する人向けの対策、経営層向けの対策、というようにこちらも対象者ごとにコンテンツが分かれています。
MOTEX「セキュリティ 7つの習慣・20の事例」
弊社MOTEXの「セキュリティ 7つの習慣・20の事例」では、まず身につけておくべき「セキュリティ 7つの習慣」や身近に起こる様々なリスクを「20の事例」として掲載しています。
難しい専門用語などは使われていないので、難しいセキュリティをわかりやすく学ぶことができます。
情報セキュリティ教育とあわせて活用したいIT資産管理・MDM「LANSCOPEエンドポイントマネージャー クラウド版」
情報セキュリティ教育の実施とあわせてセキュリティツールを導入すれば、重大なインシデントの発生確率をより抑えることが可能です。
MOTEX(エムオーテックス)では、情報漏洩対策に役立つさまざまな機能を備えた「LANSCOPEエンドポイントマネージャー クラウド版」を提供しています。
▼情報漏洩対策に役立つ、機能の一例
- PCの「操作ログ」を取得し、最大5年分保存可能
- PC・スマホの利用状況を「レポート」で見える化
- 従業員の不審なファイル持ち出しや操作は、アラートで管理者へ通知
- 万が一の紛失時に役立つ、リモートロック・リモートワイプ
- デバイスの位置情報の自動取得
内部不正対策として欠かせない PC の操作ログは、最大5年分の保存が可能。またログ画面からは、アプリの利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続などについて、「どのPCで」「誰が」「いつ」「どんな操作をしたか」など社員の PC の利用状況を、簡単に把握できます。
情報漏洩に繋がりそうな従業員の操作は、アラートで管理者に通知されるため、不正行為の早期発見・インシデントの防止が可能です。
また万が一、従業員が社用端末を紛失した場合も、遠隔で画面ロックや端末の初期化を行えるため、第三者に情報を閲覧されるリスクも防げます。
LANSCOPE エンドポイントマネージャー クラウド版の詳細は、以下のページよりご覧ください。
まとめ
本記事では「情報セキュリティ教育」をテーマに、その必要性や手順などを解説しました。
▼本記事のまとめ
- 情報セキュリティ教育とは、セキュリティ事故を未然に防ぐ目的で行われる社内教育
- 情報セキュリティ教育が必要な理由は、従業員のセキュリティリテラシー不足が重大なインシデントにつながる危険性があるから
- 情報セキュリティポリシーを事前に策定しておくことで、IT管理者は教育実施時に何を強調すればよいのかの判断ができるようになり、従業員も何を意識すればよいのかが明確になる
- 情報セキュリティ教育を行う際は、「1.テーマの設定」「2.対象者の選定」「3.実施時期・頻度の決定」「4.実施方法の決定」「5.効果測定」という手順で行うのが一般的
組織のセキュリティはIT管理者やセキュリティ担当者だけで完結するものではなく、組織全体で作り上げるものだと意識することが大切です。システム面でセキュリティ対策を盤石にすることも重要ですが、従業員のリテラシー向上を軽視せず、継続的な教育活動の実施を心がけましょう。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事
