情報セキュリティ教育を計画的に進める5つの方法│目的や必要性は?
現代では、企業の業務に関わる全ての人が何らかの機密情報を扱っており、情報セキュリティ教育の重要性が高まっています。ハードウェアやソフトウェアを整備しても、一人ひとりのセキュリティ意識が低下していれば、外部からの攻撃や人為的ミスによって重大な事故につながり得るためです。
そこで今回は、情報セキュリティ教育の必要性や目的、実施方法について解説します。研修の実施に役立つコンテンツや資料も紹介しますので、ぜひ参考にしてください。
情報セキュリティ教育の基礎知識
サイバー攻撃や情報資産の管理ミスによる情報セキュリティ事故から企業を守るには、セキュリティ意識の強化を目的とした社員教育の実施が重要です。まずは、情報セキュリティ教育の必要性やメリット、目的についてお伝えします。
情報セキュリティ教育の必要性・メリット
従業員に対する情報セキュリティ教育を徹底すれば、情報漏えいを未然に防ぎやすくなります。その理由は、「紛失・置忘れ」「誤操作」「管理ミス」「設定」「盗難」など、ヒューマンエラーによる情報漏えいが全体の6割以上を占めているためです。事故による損害賠償や社会的信用の低下といったリスクの軽減も期待できるでしょう。
【参考】 「2018年情報セキュリティインシデントに関する調査報告書」|日本ネットワークセキュリティ協会
情報セキュリティ教育の目的・役割
情報セキュリティポリシーを周知徹底する
情報セキュリティポリシーとは、企業や組織における情報セキュリティ対策の方針のことです。主に行動指針や計画・施策、運用体制・規定などを記載します。
組織内の情報セキュリティ意識を向上させるには、従業員全員が策定したポリシーを遵守するための継続的な取り組み・仕組みが必要です。例えば、違反した場合の罰則や組織への被害を示す、理解度をチェックするテストを実施する、個人情報の取り扱いに関するルールを徹底するなどの方法が考えられます。
情報セキュリティの脅威と対策を理解する
情報セキュリティ教育では、整備したポリシーを従業員に遵守してもらうために、実際の事例を伝えることも重要です。例えば、インターネット上の脅威や被害、ウイルス対策や脆弱性対策などの基本的な対策、電子メールやツールの取り扱いにおける心構えなどを解説するのが効果的です。
目次に戻る情報セキュリティ教育を計画的に進める方法
次は、情報セキュリティ教育の実施方法を手順に沿って解説します。適切なサイクルで情報セキュリティ教育を実施し、自社のリテラシー向上に役立てましょう。
Step1. 教育の目的や学習テーマを設定する
最初に目的を明確化させることで取り組みや効果に一貫性が出やすくなります。社内の情報セキュリティに関する過去の事故や課題を抽出・整理し、目的の設定に役立てましょう。また、社外の事例からは、過去に発生していないが将来起こり得るリスクを想定できます。
情報セキュリティ教育の目的を設定できたら、課題解決に向けて従業員に習得してほしいセキュリティ知識・技能を決定し、それに沿った学習テーマを選定しましょう。学習テーマの例としては、以下のようなものが挙げられます。
- 情報漏えいのリスク
- 守秘義務
- 秘密情報の種類
- 標的型攻撃メールの脅威と対応策
- SNSの利用ルール
- 情報端末の管理の重要性
- クラウドサービスや公衆無線LANの利用におけるセキュリティリスク
- 最新のサイバー攻撃の手口
- パスワード管理
Step2. 教育の対象者を選定する
次に、教育の目的や学習テーマに沿って対象者を選定しましょう。教育内容によっては、部署や役職・役割、オフィスの場所などを参考に対象を決定する場合があります。例えば、営業部の正社員と業務に携わる業務委託先、東京オフィスの正社員などが考えられます。
派遣社員や契約社員、アルバイト・パート、業務委託先など雇用形態を問わず、業務に関わる全ての人を対象者に選定しましょう。
Step3. 教育の実施時期・頻度を決定する
次は、情報セキュリティ教育をスケジュールに組み込むために、実施時期や頻度を決定します。実施時期は新入社員や中途社員の入社時、自社や他社でセキュリティインシデントが発生したとき、社内ルールの変更時などが考えられます。
情報セキュリティに対する従業員の関心が高まっているタイミングで行うのがポイントです。
また、実施の頻度は年に1回、毎月1回、半期・四半期に1回などが挙げられます。内容の重要性や人事異動の頻度などを考慮した上で決定し、定期的に開催しましょう。
Step4. 教育の形態を選定しコンテンツを準備する
次のプロセスでは、情報セキュリティ教育の実施形態を考えます。集合研修やeラーニング、外部セミナーなどが一般的です。教育内容や費用、受講者のリテラシーの程度に応じて適切な方法を選択しましょう。
特におすすめの方法はeラーニングでの実施です。インターネットを活用した学習形態で、学習者はパソコンやタブレットなどでオンライン上のサーバーにアクセスし、必要な講座を受講します。
集合研修のように参加者を集める必要がなく、ネット環境さえあれば場所や時間を問わずアクセスできるため、リモートワークを導入している企業でも利用しやすいのが特徴です。
教育の形態が決まったら、コンテンツの準備に取り掛かります。オリジナル教材を作成したり既存コンテンツを購入したりして、求める知識・技能を習得できる教材を用意しましょう。
eラーニングの場合は、サービスによっては既存のコンテンツだけでなく、自社で制作した教材を組み合わせて配信することも可能です。
Step5. 教育の効果測定を踏まえたフォローアップを行う
情報セキュリティ教育の実施後は、確認テストやアンケートを通して効果測定を行います。その結果、情報セキュリティの認識に関して問題のある従業員がいた場合は、フィードバックやフォローアップを行いましょう。
また、自社で教材を用意しているケースでは、効果測定を踏まえてコンテンツの見直しを行うことも重要です。
情報セキュリティ教育に活用できるコンテンツ・資料
情報セキュリティ教育を実施する際は、外部のコンテンツや資料を自社に適した形で組み合わせるのが効率的です。こちらでは、情報セキュリティ教育に活用できるコンテンツや資料をご紹介します。
IPA「対策のしおり」
こちらは、経済産業省が管轄するIPA(情報処理推進機構)が一般に公開している資料です。IPAは、国内のIT分野における競争力強化に向けた人材育成などの活動を行っています。
Web会議やテレワーク、長期休暇など目的や場面に応じた具体的なセキュリティ対策が紹介されており、研修資料や配布資料として活用されることもあります。
【参考】 対策のしおり | IPA 独立行政法人 情報処理推進機
総務省「国民のためのサイバーセキュリティサイト」
総務省のWebサイトでは、企業や組織におけるサイバーセキュリティ対策に関するコンテンツを提供しています。幹部や社員、情報管理担当者など役割別にカリキュラムが分かれており、全社的な情報セキュリティ教育の実施にも活用しやすいのが特徴です。
各コンテンツはすべてPDF版をダウンロードできるため、教育の実施後に資料として配布することで知識の定着に役立てられます。また、一部講座は動画も公開されており、専門家の解説を繰り返し視聴できます。
【参考】 国民のためのサイバーセキュリティサイト | 総務省
eラーニングサービスlearningBOX ON
「learningBOX ON」は、eラーニング作成・管理システムである「learningBOX」に企業で必須となる研修コンテンツを簡単に追加することができるサービスです。情報セキュリティ教材のコンテンツを無料でお使いいただけ、オリジナル教材と既存コンテンツを組み合わせて配信していただけるのも魅力です。
情報セキュリティ教育を進めてサイバーリスクに強い企業を実現しよう
今回は、情報セキュリティ教育の目的や実施方法を解説しました。情報セキュリティ事故による企業イメージの低下や損害賠償などのリスクを低減するには、従業員一人ひとりのセキュリティ意識を向上させる必要があります。情報セキュリティ教育を計画的に実施し、サイバーリスクに強い組織を実現しましょう。
社内で情報セキュリティに関する周知をする際はlearningBOX ONの情報セキュリティ研修コンテンツがおすすめです。コンプライアンス研修のコンテンツなども無料で利用できますので、ぜひ社内研修にご活用ください。
▼こちらもおすすめ!あわせて読みたい
