• シェア
• ツイート
• 

前回の『 性善説の限界!?「内部不正」はなぜなくならないのか ~「人的脅威」のトレンドと内部不正発生のメカニズムを探る~ 』では、従業員による内部不正や過失といった、人に起因するインシデントが企業の情報セキュリティにおいて重大な脅威であり、そうした「人的脅威」への対策として、情報セキュリティ教育が重要であることを解説しました。

今回は、企業のセキュリティ強化に向けて、効果的な従業員教育を行うためのポイントについて解説します。

情報セキュリティに真剣に取り組むのであれば、ただ漫然と教育を実施するのではなく、従業員一人ひとりのセキュリティ意識向上に向けて、明確な目標を定めて教育を設計する必要があります。

企業における情報セキュリティ教育は、目的が曖昧なまま実施されているケースが少なくありません。

強固なセキュリティ体制を構築するためには、「人的脅威」を正しく認識して、「誰に」「何を」「いつ」「どのように」教育することが最適なのかをよく考えなければなりません。

情報セキュリティにおいて、まず初めに行わなければならないのは、現状を把握することです。

企業として「守るべき情報」を特定し、その情報が組織の中の、「どこに」、「どのような状態で」、存在するのかを正確に把握しなければなりません。そして、その情報が漏えいするリスク、漏えいした際のインパクトを可視化し、優先順位を付けることで、効率的かつ効果的な対策を講じることが可能となります。

こうしたリスクアセスメント（リスクの特定・分析・評価）は、情報セキュリティ教育においても非常に重要です。「守るべき情報」に関わる可能性のある従業員をリスクの一つとして捉え、効果的な対策（教育）を講じるために、まずは従業員一人ひとりに潜むリスク「人的脅威」を可視化することが必要です。

情報セキュリティ教育は、業務に関わるすべての人に対して行わなければなりません。

正社員、契約社員、派遣社員、パート社員はもちろん、社長や役員などの経営層、さらに見逃しがちな業務委託先の従業員も含めて、すべてがセキュリティ教育の対象となります。さらに、職種（営業部門、開発部門、製造部門、その他）、階層（新入社員、一般社員、管理職、その他）、働く環境（オフィス、工場、店舗、その他）など従業員はさまざまな要素を併せ持っており、それによって求められる役割とセキュリティリスクが異なります。

つまり、一様の教育ではなく、多種多様なタイプに応じた教育カリキュラムを設計する必要があります。

新入社員の研修カリキュラムに情報セキュリティ教育が含まれている企業は多いでしょう。

もちろん、直前まで学生だった新入社員には、手厚い教育が必要です。セキュリティリスクに対する「危機感」、自分の役割に対する「責任感」を認識し、会社が定めたセキュリティポリシーに沿って「正しい行動」をとれるように導かなければなりません。

とはいえ、これは、新入社員に限ったことではありません。教育効果は時間の経過とともに低下していきます。

入社から数年を経過して社会人生活に慣れはじめた若手社員や、業務を何でも一人でこなしてしまうベテラン社員に対しても、緩みかけた意識を引き締めるために、適切なタイミングで刺激を与えるための教育が必要となります。

また、数年前では常識であった怪しいメールの見分け方（片言の日本語、怪しい添付ファイルなど）を学んだが故に、洗練された最新の標的型攻撃メールを疑いなく開いてマルウェアに感染してしまうようなリスクにも注意が必要です。目まぐるしく進化するサイバー攻撃など、世の中のセキュリティ動向に遅れを取らないよう、最新の情報を盛り込んだ教育を実施しなければならないのです。

教育手法としては、eラーニングや集合研修が一般的ですが、教育内容によっては、手元に置いておける冊子を製作して配布したり、日頃から従業員の目に付く場所にポスターを掲示したり、情報セキュリティをテーマに職場単位で対話することで効果を発揮する場合もあります。

まずは、「誰に」「何を」学ばせるのか、目標を明確に設定することが肝心であり、その目標に対して最も効率的かつ効果的な手段を当てはめていくことが必要となります。

人的脅威は、いわゆる故意による内部不正だけではありません。

知っておくべき情報、例えばビジネスメール詐欺という攻撃の手口を知らなかったために企業に多額な損失が生じたケースもあります。うっかりミスや誤操作などの過失によって起こる情報漏えいも、後を絶ちません。情報セキュリティに関する事故や事件の報道を見ても、まさか自分の会社で、まさか自分が、このような事故の当事者になるとは思っていないことが多いのではないでしょうか。

そこで、従業員一人ひとりの情報セキュリティに対する意識を「他人事」ではなく「自分事」として捉え、従業員一人ひとり当事者意識を持てるように導く「伝わる教材」が必要になります。

情報セキュリティ教育の教材作成は、情報システム部門や情報セキュリティ部門に任されていることが多いようです.

当然ながら、これらの部門は教育の専門家ではありませんし、コンテンツ制作の専門家でもありません。そのため、専門用語が多く使われ、読みづらい教材に仕上がってしまうケースも少なくないようです。そのような頭に入りづらい教材は、受講者の情報セキュリティに対する関心を遠ざけてしまいます。最も気の毒なのは、そのような慣れない作業を定期的に任される情報システム部門、情報セキュリティ部門の方々でしょう。

そして、専門外の業務は作業効率も悪く、教材作成に要する人件費（コスト）が成果物のクオリティと見合っていないことも企業にとっては課題と言えます。

情報セキュリティ教育においては、従業員に適した教育手法を選定したとしても、そこに「伝わる教材」を組み合わせなければ、期待された効果は生まれません。そのような教材を制作できる人材が社内にいないのであれば、経験豊富な外部の専門家に協力を求めたほうが明らかに効率的でしょう。

情報セキュリティ教育は、その方法を間違えると期待された効果は得られません。「守るべき情報」と「人的脅威」について現状を正しく把握した上で、「誰に」「何を」を学ばせる必要があるのかを明確化し、それに対して最適な教育手法を選定することが大切です。

そして、使用する教材は、受講者が、情報セキュリティを「自分事」として受け入れられるものでなければなりません。

いまや経営課題となっている情報セキュリティ。その中でも「人的対策」は間違いなく優先すべき対策です。

たった一人の従業員の「気の緩み」や「知識不足」、自分の不正行為によって自分や周りにどんなことが起こるのかを想像できない「想像力の欠如」によって、セキュリティインシデントは引き起こされます。いま一度、情報セキュリティ教育の在り方を見直してみてはいかがでしょうか。

・性善説の限界！？「内部不正」はなぜなくならないのか　~「人的脅威」トレンドと内部不正発生のメカニズムを探る~

・ウィズコロナ/アフターコロナの新しい働き方に潜むリスクを考える 第3回「木の家でもオオカミを防げない」
　テレワークに潜むリスクを考えるシリーズコラム 第3回で、攻撃者が狙う「人の脆弱性」についてお伝えしています。

・情報セキュリティコンサルティング
効果的なセキュリティ教育を設計するには、「守るべき情報」とそれを取り巻くセキュリティリスク（人的脅威）の可視化が不可欠です。
第三者視点でリスクアセスメントを行い、貴社のセキュリティ強化に向けた正確な現状把握をご支援します。

・情報セキュリティ教育
eラーニングコンテンツ(eラーニング用教材)、集合研修、標的型攻撃メール訓練、サイネージ用コンテンツやハンドブック製作など、
貴社の情報セキュリティ教育全般を支援します。

・標的型攻撃メール訓練サービス
従業員に対して、疑似的な標的型攻撃メールを配信して、開封率をご報告します。さらに、eラーニングや集合研修など様々なセキュリティ教育と組み合わせることで、開封率の低下だけではなく、不審メール受信時の正しい対応の習得を支援します。

• シェア
• ツイート
• 

おすすめコンテンツ

• 性善説の限界!?「内部不正」はなぜなくならないのか
  ~「人的脅威」トレンドと内部不正発生のメカニズムを探る~

  

• 物理セキュリティ新時代 (1)　物理セキュリティにおける製造業としての哲学（後編）

  

• 物理セキュリティ新時代 (1)　物理セキュリティにおける製造業としての哲学（前編）

  

• 産業制御システムセキュリティのいま。そしてこれから(5)

  

• なぜ印刷会社がセキュリティなのか？

  

• 働き方改革と情報セキュリティ(1)「風土改革」に向けた取り組み

  

• 情報セキュリティコラム一覧
• 「新しい働き方に潜むリスクを考える」シリーズコラム　全6回
• 資料請求などお気軽に
  お問合わせください。(ID別ウィンドウで開く)