2025.01.23
より深く学ぶ セキュリティ教育の重要性
目次
中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。
情報化社会が進む中で、日常生活やビジネスにおけるITの利活用がますます広がっています。しかし、その一方で情報漏えいやサイバー攻撃といったリスクも顕在化しています。こうしたリスクに対処するために欠かせないのが「セキュリティ教育」です。
本記事では、セキュリティ教育の重要性、その背景や事例、そして効果的な教育手法について詳しく説明します。
1.セキュリティは常識?
今では当たり前のように使われる「サイバーセキュリティ」という言葉が一般的に使われるようになったのはいつ頃でしょうか。
1990年代初頭、インターネットの普及が本格化する前に、コンピュータネットワークと情報システムのグローバル化が進みました。この時期に、企業や政府の情報システムが普及し、セキュリティの重要性が認識され始めました。
例えば、1992年にOECD(経済協力開発機構)が情報システムのセキュリティに関する国際原則「情報セキュリティに関するガイドライン」を発表しました。
このガイドラインには、信頼性、データの完全性、アクセスの適切性など、サイバーセキュリティの基本的な考え方が明記されています。
そして、1990年代後半以降、急速なインターネットの普及に伴い、個人も企業もネットワークを日常的に利用する時代が始まりました。それと同時にハッキングやウイルス感染などの新たなリスクが登場し、「サイバーセキュリティ」という言葉が使われるようになり、セキュリティの概念はますます重要になりました。
今日では、「情報セキュリティ」や「サイバーセキュリティ」という言葉を、ニュースなどでよく耳にするようになりました。
しかし、実際のところ学校教育や職場研修でセキュリティについて教えられることは少なく、日常生活での具体的な対策方法を学ぶ機会が限られています。
また、セキュリティに関する知識は専門的である場合が多く、一般の人々にとっては理解しづらい点が、セキュリティに関する理解の普及を妨げています。
2.セキュリティ教育が求められる理由:過去の事例に学ぶ
セキュリティ教育の必要性を考える上で、実際の事例から多くのことを学ぶことができます。
代表的な例として、日本年金機構で発生した大規模な個人情報漏えい事件(2015年)が挙げられます。この事件では、職員のパソコンから約125万件の個人情報が流出し、事故の要因は職員へのセキュリティ教育が不十分であった点にあると結論付けられました。
公表資料には「電子メールのウイルスが入った添付ファイルを開封したことにより、不正アクセスが行われ、情報が流出したものと認められます。」とあり、原因は標的型攻撃メールにより職員5名のパソコンがウイルスに感染したことにあることが分かりました。
また、調査結果報告には、「毎年、全職員を対象に情報セキュリティに関する研修を実施していたが、研修教材の中で標的型メール攻撃に関する記載内容が不十分であった。」「標的型メール攻撃に関する内容を周知したこともあったが、実際に必要とする対応方法に即したものになっておらず、職員への十分な周知・徹底には至っていなかった。」(原文ママ)という記述があり、職員への教育が不十分であったことがわかります。
この事故は、セキュリティ教育の重要性を再認識させるものとなりました。
3.セキュリティは専任者の仕事という誤解
組織の中には多くの専門分野と部門があり、それぞれ業務遂行には専門知識が必要となります。
経理部門では会計の知識が、人事部門では労務管理の知識が必要とされ、誰でも配属後に研修やOJTを通じて、専門知識を身に付けていきます。
ところがセキュリティとなると、特定の部門や担当者にだけ任せればよいと考えるケースが少なくありません。
しかし、サイバー攻撃や情報漏えいのリスクは特定の部門だけで防ぐことはできません。むしろ、業務でITを利用する従業員一人ひとりが情報セキュリティに対する意識を持ち、組織全体で対応する必要があります。
実際、情報漏えいなどの事故は、その原因の多くが従業員の不注意や誤操作に起因しています。たった一人の従業員の不注意が、企業全体の信頼や事業環境に深刻な打撃をもたらす可能性があるのです。
4.セキュリティ教育の進め方
セキュリティに関する知識やスキルは非常に幅広く多岐に渡るため、従業員に短時間で多くの内容を伝えても、全てを理解し実行するのは困難です。
従業員の理解を深めるためには、業務上特に求められるスキルやポイントを絞り、計画的にセキュリティ教育の機会を設ける必要があります。
例えば、テレワークやクラウド環境などの新しい働き方や技術を導入する際は、その特性に応じた教育が必要になります。
以下にセキュリティ教育を計画的に進めるためのポイントを説明します。
(1)目的を明確にする
受講者の職種や役職、利用する情報システムに応じて、必要となる知識やスキルを具体的に設定します。例えば、全従業員向けにはセキュリティ関連規程の周知を行い、経理部門には会計システムのランサムウェア対策やバックアップの必要性を重点的に教育します。
(2)教育テーマを絞る
短時間で多くを伝えることは困難なため、現場で直面しやすいテーマを選び、1回の教育で学ぶ焦点を絞ります。例としては、「テレワーク時のWi-Fiセキュリティリスクと対策」などです。
(3)5W1Hを決める
教育内容を計画する際、5W1Hの視点を取り入れると良いでしょう。これにより、具体的で実行可能な教育プログラムが設計できます。
Who(対象者) | 全従業員、管理職、パート、新入社員など |
---|---|
When(実施時期) | 年度初め、半期ごと、入社時、システム導入時など |
Where(場所) | 会議室、在宅、外部研修会場など |
What(内容) | 社内ルール、標的型攻撃対策、パスワード強化など |
Why(理由) | テレワーク導入、不審メールの増加など |
How(方法) | 集合教育、eラーニング、Web会議など |
(4)教育効果を検証する
教育後、アンケートやテストを実施して、理解度を確認しましょう。また、教育内容が職場でどの程度実践されているのか、教育効果を評価することも大切です。
5.無料教材を賢く活用する
セキュリティ教育にはテーマに沿った教材が必要です。
教材を独自に作成することが難しい場合には、既存の教材を利用しましょう。
無償で提供されている教材も多数あります。
ここでは、無料で利用できる教材をご紹介します。
(1)『5分でできる!情報セキュリティポイント学習』(IPA)
https://www.ipa.go.jp/security/sec-tools/5mins_point.html
主に中小企業の方を対象とした、1テーマ5分で情報セキュリティについて学べるコンテンツです。
職場の日常的なシーンを取り入れた親しみやすい学習テーマが特徴で、セキュリティに関する様々な事例を疑似体験しながら、正しい対処法を学ぶことができます。
各テーマの最後には確認テストがあり、理解度を把握することができます。
(2)『5分でできる!情報セキュリティ自社診断』(IPA)
https://www.ipa.go.jp/security/guide/sme/5minutes.html
情報セキュリティ対策のレベルを数値化し、自社の問題点を把握するために役立ちます。
(3)『映像で知る情報セキュリティ』(IPA)
https://www.ipa.go.jp/security/videos
情報セキュリティに関する脅威や対策などを学べる映像コンテンツです。
「IPA Channel」(YouTube)で公開されています。
(4)『中小企業向けサイバーセキュリティ対策の極意』(東京都)
https://www.cybersecurity.metro.tokyo.lg.jp/security/guidebook/#page1
サイバー攻撃の現状と必須のサイバーセキュリティ対策を、できるだけわかりやすく解説しています。組織として対策を検討する際の参考資料として活用できます。
6.教育の進め方に関する動画紹介
東京都では中小企業向けに様々な支援を行っており、当事業でもセキュリティ専門家によるセミナーを開催しました。
初回のセミナーでは、セキュリティ規定の作り方に加え、効果的な社内講習会の組み立て方や講習用コンテンツの入手方法、解説のポイントなども紹介されています。セキュリティ教育に悩みを抱えている方には有益です。
・第1回セミナー「社内へのサイバーセキュリティ対策の浸透」
独立行政法人情報処理推進機構(IPA)のサイトでも効果的な講習会の組み立て方や、講習用コンテンツの入手方法、解説のポイントなどを説明するオンラインセミナーのアーカイブ動画が公開されています。
こちらも社内のセキュリティ教育に役立つ内容です。
https://www.ipa.go.jp/security/seminar/sme/seminar.html
なお本稿は、IPAが発行している「中小企業の情報セキュリティ対策ガイドライン第3.1版」を参考に解説しています。
次回は、組織的なセキュリティ向上に必要なことについて解説します。