2020/3/17

人が最大の脅威!?「内部不正」を防ぐ情報セキュリティ教育とは
~「ヒトゴト」から「ジブンゴト」へのセキュリティ意識改革~

  • このエントリーをはてなブックマークに追加

前回の『 性善説の限界!?「内部不正」はなぜなくならないのか ~「人的脅威」のトレンドと内部不正発生のメカニズムを探る~ 』では、従業員による内部不正や過失といった、人に起因するインシデントが企業の情報セキュリティにおいて重大な脅威であり、そうした「人的脅威」への対策として、情報セキュリティ教育が重要であることを解説しました。

今回は、企業のセキュリティ強化に向けて、効果的な従業員教育を行うためのポイントについて解説します。

目次:



効果を上げるためには教育の「設計」が必須

情報セキュリティに真剣に取り組むのであれば、ただ漫然と教育を実施するのではなく、従業員一人ひとりのセキュリティ意識向上に向けて、明確な目標を定めて教育を設計する必要があります。

企業における情報セキュリティ教育は、目的が曖昧なまま実施されているケースが少なくありません。

強固なセキュリティ体制を構築するためには、「人的脅威」を正しく認識して、「誰に」「何を」「いつ」「どのように」教育することが最適なのかをよく考えなければなりません。


<情報セキュリティ教育の設計手順>
STEP1 リスクアセスメント(現状把握):
「守るべき情報」とそれを取り巻く「人的脅威」を正確に把握する
SETP2 教育対象者と教育内容の決定:
「誰に」「何を」学ばせる必要があるのか、教育の目的を明確化する
STEP3 教育実施のタイミングと手法の決定:
「いつ」「どのように」教育すべきか、受講対象者に効率的に学ばせるための時期・場所・手法を検討する
STEP4 教材の選定(制作):
教育内容が受講者に最も効果的に伝わる教材を制作する(または選ぶ)


まずは「現状把握」から

情報セキュリティにおいて、まず初めに行わなければならないのは、現状を把握することです。

企業として「守るべき情報」を特定し、その情報が組織の中の、「どこに」、「どのような状態で」、存在するのかを正確に把握しなければなりません。そして、その情報が漏えいするリスク、漏えいした際のインパクトを可視化し、優先順位を付けることで、効率的かつ効果的な対策を講じることが可能となります。

こうしたリスクアセスメント(リスクの特定・分析・評価)は、情報セキュリティ教育においても非常に重要です。「守るべき情報」に関わる可能性のある従業員をリスクの一つとして捉え、効果的な対策(教育)を講じるために、まずは従業員一人ひとりに潜むリスク「人的脅威」を可視化することが必要です。



「誰に」、「何を」、「いつ」、「どのように」、学ばせるのか

情報セキュリティ教育は、業務に関わるすべての人に対して行わなければなりません。

正社員、契約社員、派遣社員、パート社員はもちろん、社長や役員などの経営層、さらに見逃しがちな業務委託先の従業員も含めて、すべてがセキュリティ教育の対象となります。さらに、職種(営業部門、開発部門、製造部門、その他)、階層(新入社員、一般社員、管理職、その他)、働く環境(オフィス、工場、店舗、その他)など従業員はさまざまな要素を併せ持っており、それによって求められる役割とセキュリティリスクが異なります。

つまり、一様の教育ではなく、多種多様なタイプに応じた教育カリキュラムを設計する必要があります。


<従業員の構成要素>
■カテゴリ ■具体例
雇用形態 正社員、契約社員、派遣社員、パート社員、など
階層 経営層、管理職、一般社員、新入社員、など
職種 営業、企画、総務、経理、開発、製造、など
働く環境 オフィス、店舗、コールセンター、研究所、工場、など


新入社員の研修カリキュラムに情報セキュリティ教育が含まれている企業は多いでしょう。

もちろん、直前まで学生だった新入社員には、手厚い教育が必要です。セキュリティリスクに対する「危機感」、自分の役割に対する「責任感」を認識し、会社が定めたセキュリティポリシーに沿って「正しい行動」をとれるように導かなければなりません。

とはいえ、これは、新入社員に限ったことではありません。教育効果は時間の経過とともに低下していきます。

入社から数年を経過して社会人生活に慣れはじめた若手社員や、業務を何でも一人でこなしてしまうベテラン社員に対しても、緩みかけた意識を引き締めるために、適切なタイミングで刺激を与えるための教育が必要となります。

また、数年前では常識であった怪しいメールの見分け方(片言の日本語、怪しい添付ファイルなど)を学んだが故に、洗練された最新の標的型攻撃メールを疑いなく開いてマルウェアに感染してしまうようなリスクにも注意が必要です。目まぐるしく進化するサイバー攻撃など、世の中のセキュリティ動向に遅れを取らないよう、最新の情報を盛り込んだ教育を実施しなければならないのです。


教育手法

教育手法としては、eラーニングや集合研修が一般的ですが、教育内容によっては、手元に置いておける冊子を製作して配布したり、日頃から従業員の目に付く場所にポスターを掲示したり、情報セキュリティをテーマに職場単位で対話することで効果を発揮する場合もあります。

まずは、「誰に」「何を」学ばせるのか、目標を明確に設定することが肝心であり、その目標に対して最も効率的かつ効果的な手段を当てはめていくことが必要となります。


<情報セキュリティにおける主な教育手法>
■教育手法 ■メリット ■注意すべきポイント
eラーニング
・理解度テスト
・アンケート
受講者は業務の合間を利用して効率よく学習
することができる。管理者はシステム上で従
業員の履修状況を把握できる。
難解な専門用語は使わず、できる限り文章よりも
イラストを多く用いた、読みやすく解りやすい教
材を使用する。
集合研修
・ワークショップ
・アンケート
講師が目の前で解説するため緊張感が生まれ
る。受講者のタイプやレベルに応じて、講義
内容をカスタマイズしやすい。
講師が一方的に話すのではなく、グループディス
カッションなども交える。知識の植え付けではな
く、意識の変化を重視する。
標的型攻撃メール
対応訓練
攻撃メールを疑似体験することで従業員の危
機意識を高めることができ、開封率によって
現状の意識レベルを可視化できる。
開封率を下げるだけではなく、開封の有無に限ら
ず、攻撃メールを受信した際の正しい対応が身に
付いているかどうかまで確認する。
掲示物
・ポスター
・サイネージ
日頃から目に付く場所に掲示することで反復
学習となり、日々の生活を通して従業員に
セキュリティ意識を擦りこむことができる。
文字を読ませるのではなく、写真やイラストなど
を活用し、一目で直感的に伝わるデザインを採用
する。見慣れてしまうと効果が薄れるので、一定
期間が過ぎたら別の内容に差し替える。
配布物
・リーフレット
・ハンドブック
教材としてだけではなく、インシデント発生
時の正しい対応手順や緊急連絡先など、万が
一の備えとしても活用できる。
従業員が捨てずに手元に保管し、長く活用できる
ように、掲載内容だけではなく、冊子の仕様や体
裁を選定する。
PCログイン時の
ワンポイントコンテンツ
PCログイン時に自動表示することで、PC利
用者は必ず目にすることができる。必要な情
報をタイムリーに伝えることができる。
文字だけではなく、イラストや写真を用いて、ス
ライド1枚で簡潔に伝える。コンテンツ内容に適
した表示スケジュールを設定する。


セキュリティ意識を改革させるためには「伝わる教材」が重要

人的脅威は、いわゆる故意による内部不正だけではありません。

知っておくべき情報、例えばビジネスメール詐欺という攻撃の手口を知らなかったために企業に多額な損失が生じたケースもあります。うっかりミスや誤操作などの過失によって起こる情報漏えいも、後を絶ちません。情報セキュリティに関する事故や事件の報道を見ても、まさか自分の会社で、まさか自分が、このような事故の当事者になるとは思っていないことが多いのではないでしょうか。

そこで、従業員一人ひとりの情報セキュリティに対する意識を「他人事」ではなく「自分事」として捉え、従業員一人ひとり当事者意識を持てるように導く「伝わる教材」が必要になります。


伝わる教材

情報セキュリティ教育の教材作成は、情報システム部門や情報セキュリティ部門に任されていることが多いようです.

当然ながら、これらの部門は教育の専門家ではありませんし、コンテンツ制作の専門家でもありません。そのため、専門用語が多く使われ、読みづらい教材に仕上がってしまうケースも少なくないようです。そのような頭に入りづらい教材は、受講者の情報セキュリティに対する関心を遠ざけてしまいます。最も気の毒なのは、そのような慣れない作業を定期的に任される情報システム部門、情報セキュリティ部門の方々でしょう。

そして、専門外の業務は作業効率も悪く、教材作成に要する人件費(コスト)が成果物のクオリティと見合っていないことも企業にとっては課題と言えます。

情報セキュリティ教育においては、従業員に適した教育手法を選定したとしても、そこに「伝わる教材」を組み合わせなければ、期待された効果は生まれません。そのような教材を制作できる人材が社内にいないのであれば、経験豊富な外部の専門家に協力を求めたほうが明らかに効率的でしょう。



伝わる教材(例1) ~身近なシーンを具体的に連想させて伝える~
DNP情報セキュリティeラーニングコンテンツ「外出時に気を付けること」より

情報セキュリティ教育「伝わる教材」身近なシーンを具体的に連想させる(例)「外出時に気を付けること」イメージ

情報セキュリティ教育「伝わる教材」身近なシーンを具体的に連想させる(例)「外出時に気を付けること」解説



伝わる教材(例2) ~事例を交えて不祥事による影響まで伝える~
DNP情報セキュリティeラーニングコンテンツ「SNS利用時に気を付けること」より

情報セキュリティ教育「伝わる教材」事例を交えて伝える(例)SNS利用時に気を付けること1

情報セキュリティ教育「伝わる教材」事例を交えて伝える(例)SNS利用時に気を付けること2




情報セキュリティ教育は、その方法を間違えると期待された効果は得られません。「守るべき情報」と「人的脅威」について現状を正しく把握した上で、「誰に」「何を」を学ばせる必要があるのかを明確化し、それに対して最適な教育手法を選定することが大切です。

そして、使用する教材は、受講者が、情報セキュリティを「自分事」として受け入れられるものでなければなりません。

いまや経営課題となっている情報セキュリティ。その中でも「人的対策」は間違いなく優先すべき対策です。

たった一人の従業員の「気の緩み」や「知識不足」、自分の不正行為によって自分や周りにどんなことが起こるのかを想像できない「想像力の欠如」によって、セキュリティインシデントは引き起こされます。いま一度、情報セキュリティ教育の在り方を見直してみてはいかがでしょうか。




■関連記事

性善説の限界!?「内部不正」はなぜなくならないのか ~「人的脅威」トレンドと内部不正発生のメカニズムを探る~



■関連ソリューション

情報セキュリティコンサルティング
効果的なセキュリティ教育を設計するには、「守るべき情報」とそれを取り巻くセキュリティリスク(人的脅威)の可視化が不可欠です。
第三者視点でリスクアセスメントを行い、貴社のセキュリティ強化に向けた正確な現状把握をご支援します。

情報セキュリティ教育
eラーニングコンテンツ(eラーニング用教材)、集合研修、標的型攻撃メール訓練、サイネージ用コンテンツやハンドブック製作など、
貴社の情報セキュリティ教育全般を支援します。

*2020年2月、新たな脅威情報を追加するなどeラーニングコンテンツをリニューアルいたしました。
【コンテンツリニューアルキャンペーン】実施中!※キャンペーン期間:2020年3月31日まで
最新コンテンツを特別価格でご提供します。詳しくはお問い合わせください。

標的型攻撃メール訓練サービス
従業員に対して、疑似的な標的型攻撃メールを配信して、開封率をご報告します。さらに、eラーニングや集合研修など様々なセキュリティ教育と組み合わせることで、開封率の低下だけではなく、不審メール受信時の正しい対応の習得を支援します。

人気の記事