Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
現代社会において、セキュリティ対策は必須と言える時代になりました。経済活動を行わない非営利組織においても、必要なコストや工数をかけてセキュリティ対策を実施することが当たり前です。
しかし、それだけでは組織のセキュリティ対策として不十分と言えるでしょう。なぜなら、組織のセキュリティは業務に従事する人間の行動により、たやすく崩壊してしまう脆さを持っているためです。そこで今回は、組織内の人員に対する教育の重要性と、どのような教育を行えばよいのかをご紹介します。
社員教育はセキュリティ対策の要
どのようなセキュリティ製品を活用していても、情報を扱う社員のリテラシーが低ければ、大きなセキュリティリスクになり得ます。従業員がシステムや情報を扱うためには、情報に対するアクセス権限が必要です。しかし、情報を扱う従業員のセキュリティ意識やリテラシーが低い状態では、そこに大きなセキュリティリスクが生まれてしまいます。本人に悪意が無くてもデータを危険な場所に保存してしまう、公共の場で発言するべきではない情報を口にしてしまうなど、情報漏洩に繋がる行為が起こる可能性があるためです。
従業員のリテラシーが向上することで安全に情報を扱えるほか、これまで当たり前に行っていた業務のリスクにいち早く気づくことができます。業務内容の危険性は、外から見える作業の概要だけに存在しているわけではありません。実際にその業務を行っている従業員のヒヤリハットや、文書化されていない暗黙のルールにも多く隠れています。同じ業務を行っても、セキュリティ意識を持った従業員とそうでない従業員では、気づける内容に大きな差が生まれるでしょう。
従業員のセキュリティ意識を向上させるためには、定型的な注意喚起だけでは足りません。
セキュリティ意識を高く保ち危険を察知できる組織を作るためには、計画的なリテラシー教育を継続して行う必要があります。専門知識を身につけることは難しくても、情報を扱う組織で業務を行うなら最低限のリテラシーは必須です。リテラシーの習得を個人任せにせず、組織として従業員のリテラシー向上を推進しましょう。
教育では何を伝えるべき?必須項目を解説
いざリテラシー教育を実施しようとしても、セキュリティについて調べると膨大な情報量に圧倒されるかもしれません。基本的なリテラシーを身につけるためには、どこから手をつければよいのでしょうか。
ここからは、これからリテラシー教育を開始する組織では、どのようなことを行えばいいのか解説します。
はじめに作成しておきたい「セキュリティポリシー」
実際に行う教育以前の項目ですが、組織としてセキュリティポリシーを未作成であればはじめに作成することをおすすめします。
セキュリティ対策には多くの考え方や方法論が存在し、ほとんどの場合は一定の効果を見込めます。しかし、現実的に全ての対策を理論通りに実践することは難しいでしょう。そのため、まずは組織の業務や扱う情報を分析し、基本ポリシーとして組織のセキュリティ対策方針を定め、文書化します。それにより、IT管理者は教育実施時に何を強調すればよいのかの判断ができるようになり、従業員も何を意識すればよいのかが明確になります。
また、組織としてのセキュリティポリシーが未作成だと、セキュリティに対して無頓着な印象を与えてしまう恐れもあります。
全従業員が即日実践するべきTips
基本的なセキュリティ対策項目の要点をTips化し、今すぐ実践できる形で伝えることは極めて重要です。IT管理者や社会人経験が長い従業員には当たり前のことでも、新入社員やセキュリティの理解に乏しい従業員は理解していないことは珍しくありません。
自社の実情や業務内容を踏まえて作成することが理想的ですが、基本的な内容例を以下に記載します。
1.システムやクラウドサービスへのログイン情報の扱い
- 生年月日や氏名など、他人が推測しやすい文字列は避ける。
- やむを得ずパスワード情報をメモ等に残す場合は、紛失の心配がなく鍵がかかる引き出し等に保管すること。不要になったらシュレッダー等で復元不可能な状態で破棄すること。
2.情報デバイスの持ち出し、持ち込み
- 業務上必要だとしても、社内の情報を無断で持ち出さないこと。
- 私物のスマートフォン等は社内の端末に接続せず、許可されていない場所で使用しないこと。
3.社外での言動
- 業務上で知り得た情報をむやみに口外しないこと。
- 些細で問題のない情報だと認識していても、経営状況やステークホルダーに結びついてしまう情報は多く存在すると認識すること。
流行しているサイバー攻撃の共有
サイバー攻撃には多くの手法がありますが、社会情勢や利用が拡大した技術によって特定の攻撃手法が流行することがあります。
近年では、コロナ禍を皮切りに在宅勤務が急速に拡大しました。その際、在宅ワーカーを狙ったサイバー攻撃が流行し、多くの被害が報告されています。その他にもSNSを悪用したフィッシング詐欺や、特定製品の脆弱性を狙った攻撃が急増するケースもあります。
このような情報を、全従業員が各自で調査し、対策を実践することは困難です。その時点で流行している攻撃手法と防御方法を調査・検討し、従業員へ伝えることで、各従業員が危険を察知できる可能性が高まるでしょう。IPAが発信しているセキュリティ情報を参考に、取り上げるサイバー攻撃を選定するのもよい方法です。
参考:IPA 情報セキュリティ10大驚異 2022
インシデントが発生したときの行動
セキュリティ事故が発生した場合、事故に直面した従業員がどのように行動するべきかを周知します。行動規範がない場合、状況を過小評価して報告を怠る、責任を感じて隠してしまうなど望ましくない状況に繋がってしまうケースが多くなります。
組織としてどのような行動を求めているかを明確に伝え、事故に直面した従業員が迷うこと無く一貫した行動を取るために、教育内容に盛り込む価値は十分にあるでしょう。
全従業員が行うべきセキュリティ対策は高度な専門知識は必要とせず、一般的なリテラシーがあれば十分に実践できます。社内教育は基本的なリテラシーの習得と、セキュリティ意識の向上を目的として実施するとよいでしょう。
一方的な情報伝達ではなく、受講者の理解を意識する
教育を実施する上で、伝える側は必要な情報を伝達することに意識が向きやすいため注意しましょう。
ITリテラシーが成熟していない従業員は、業務中の端末操作を煩雑な方法で行っている可能性があります。本来であれば不要な操作を行うことは、予期できないセキュリティ事故に繋がる恐れがあり、セキュリティの知識以前のリスクと言えるでしょう。
そのような従業員を対象とする場合は、PCやシステムの適切な使用方法を解説する方針でも効果を見込めます。安全な操作方法をわかりやすく伝えて実践を促すことで、結果的に組織のセキュリティ品質は向上します。
組織としてのセキュリティ品質・意識の向上を図るためには、従業員が教育内容を理解し、日常的にセキュリティ事故防止の意識を持つことが大切です。
組織全体のリテラシーを上げるために重要な社員教育
組織のセキュリティはIT管理者やセキュリティ担当者だけで完結するものではなく、組織全体で作り上げるものだと意識することが大切です。システム面でセキュリティ対策を盤石にすることも重要ですが、従業員のリテラシー向上を軽視せず、継続的な教育活動の実施を心がけましょう。
完全なセキュリティ対策は存在せず、終わりもありません。その中で、予期できない情報漏洩に繋がりやすいのが人為的なミスです。IT管理者が盤石な状態を作り上げていたとしても、利用者の行動一つで機密情報の漏洩に繋がってしまいます。自組織の実情を分析し、組織全体のリテラシー向上によりセキュリティを高めましょう。
盤石なセキュリティ環境を実現するためには、従業員のリテラシー向上と適切なIT資産管理が必須です。エムオーテックスでは組織のIT資産を一括管理する「LANSCOPE」を提供しています。資産管理以外にも外部・内部脅威への対策や、脆弱性対策も可能です。組織のセキュリティを高めるために、ぜひお役立てください。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事
