情報セキュリティ教育は、ほとんどすべての企業で実施が必要です。現在では、多くの企業で業務にITシステムやネットワークを使っているため、情報漏えいやデータ破壊を防ぐためにも、情報セキュリティに関する知識が非常に重要になります。

情報セキュリティ教育は、一度実施すれば十分というものではありません。常に新しいサイバー攻撃や新しい手口が発生するため、ユーザー側でも知識を更新していかなければいけないのです。業務でシステムやネットワークを利用する社員には、定期的に情報セキュリティ教育を行う必要があります。

ここでは、なぜ情報セキュリティ教育が必要なのか、何をどのように学ぶのかを説明します。

情報セキュリティ教育とは

情報セキュリティ教育とは、情報セキュリティの被害や事故を未然に防ぐため、企業が社員に行うセキュリティ教育のことです。多くの場合は情報システム部門が主導し、それぞれの社員に合わせて必要な教育を行います。

企業が狙われるサイバー犯罪は非常に多く、常に新しい手口が出てきています。被害にあわないためには、社員のITリテラシーやセキュリティリテラシーを向上させる教育が必要なのです。

ITリテラシーとは、ITを理解し利用するスキルを指します。セキュリティリテラシーとは、セキュリティに関する基本的な知識や、セキュリティ対策を行うスキルのことです。

情報セキュリティとは

情報セキュリティとは、企業や組織の情報資産をサイバー攻撃などの脅威から守ることです。

サイバー攻撃からの防御は重要ですが、セキュリティを厳重にしすぎると、ユーザーである一般社員にとってシステムの使い勝手が悪くなることもあります。あまりに使いにくい場合は、セキュリティ対策のルールを守らない社員が出てくるかもしれません。それでは、かえってセキュリティを低下させてしまいます。

そのため、セキュリティ対策を行いながら、使いやすさもある程度確保できるようなセキュリティ対策が必要です。また、ユーザーにはセキュリティ対策の意義を教育しなくてはなりません。

情報セキュリティ教育の目的

情報セキュリティ教育の目的は、次の2点です。

  • セキュリティに関する基本的な知識やスキルを身につける
  • 情報セキュリティ意識を向上させる

セキュリティリスクが発生するのは、ユーザーの操作が原因であることも多いです。そのため、ユーザーがリスクの高い行動をとらないように、情報セキュリティ意識を向上させる必要があるのです。

上記2点を習得することによってサイバー攻撃の標的となったり、事故が起きたりすることを最小限に抑えることが可能です。

情報セキュリティ教育の必要性

セキュリティ教育が適切に行われなければ、次のようなサイバー攻撃の被害にあうリスクが高くなります。

  • 不正アクセス
  • 情報漏えい
  • マルウェア感染
  • システムダウン
  • フィッシング詐欺

多くのサイバー攻撃は不正アクセスから始まることが多いため、不正アクセスにつながる認証情報の流出の防止には特に注意する必要があります。

また、フィッシング詐欺については、それぞれの記事で詳しく解説しています。
フィッシング詐欺の被害を防ぐには?企業としてどのような対策を取ればよいか
フィッシング詐欺の手口のトレンドとは?これまでの手口と合わせて注意

情報セキュリティ教育はどのように行うのか

情報セキュリティ教育の対象やタイミングは、次のように決定します。

情報セキュリティ教育の対象

情報セキュリティ教育を実施する対象者は、社内のシステムを利用し、機密情報にアクセスする可能性がある社員すべてです。経営陣から一般社員まで、システムを利用する人はすべて対象になります。正社員だけでなく、システムを利用する人なら派遣社員やアルバイトにも行わなければなりません。

また、管理職は部下の管理をする立場にあるため、管理職向けの研修が追加で必要になります。

情報セキュリティ教育を行う時期

情報セキュリティ教育は、適切なタイミングを見計らって随時行います。たとえば、次のようなタイミングです。

  • セキュリティポリシーを策定・修正したとき
  • 自社がサイバー攻撃を受けたとき
  • 他社がサイバー攻撃の被害にあったとき
  • 新人教育、中途採用時教育のとき
  • 新しいマルウェアが話題になったとき

情報セキュリティ教育は、1回実施しただけでは不十分です。忘れた部分の再学習や、新しい情報を学ぶ必要があるため、定期的に追加講習を実施しましょう。

情報セキュリティ教育の進め方

情報セキュリティ教育は、クラス形式の講習やeラーニングなどの座学だけでは不十分です。実例や操作を動画で見る、実際に操作する、テストを実施するなどを織り交ぜるとより効果的です。

情報システム部門が講師を務めている企業が多いでしょう。

テストの点数を基準とした補習や、内容のアップデートなど、継続したフォローも必要です。

情報セキュリティ教育の内容

情報セキュリティ教育の内容は大きく分けて、自社のセキュリティポリシーと一般的なセキュリティリテラシーのふたつがあります。

自社のセキュリティポリシー

自社のセキュリティ対策の基本となるもので、社内でシステムや機器を利用するためのルールです。事業内容やシステム構成などをかんがみ、自社に合わせて作成しなくてはなりません。多くの場合、次のように段階分けをして、情報システム部門が作成を進めます。

  • 基本方針
    全体に関する基本的な方針
  • 対策基準
    部署別、システム別の基準
  • 実施手順
    具体的な手順

これらに加えて、より実践的なガイドラインを作成することもあります。

基本的なセキュリティに対する知識

一般的なユーザーには、次のような知識が必要です。

  • 情報セキュリティの重要性
  • 基本的なセキュリティリテラシー(システムやツールの安全な使い方、ルールなど)
  • セキュリティ事故発生時の対応方法、事例
  • サイバー攻撃の傾向

サイバー攻撃の傾向や事例は、定期的な追加講習で取り入れましょう。

情報セキュリティ教育の教材

情報セキュリティ教育の教材は、自社で作成する必要はありません。IPA(情報処理推進機構)の公式サイトで様々な教材が提供されているので、利用するとよいでしょう。

継続的な情報セキュリティ教育で効果を高めよう

企業の新人教育に、情報セキュリティ教育が含まれることも多いでしょう。しかし、仕事をしているうちに細かな部分を忘れてしまうこともあります。定期的にフォローアップし、社員のセキュリティリテラシーを高めていくのも、情報システム部門の重要な業務です。

上司にあたる経営層には教育しにくい、派遣社員の教育にまで手が回らないということもあるでしょう。しかし、システムを利用するすべての人に同等の教育が必要です。適切に教育を行わないでいると、そこがセキュリティホールとなってサイバー攻撃の被害にあうかもしれません。

サイバー攻撃から自社を守るためには、情報セキュリティ教育だけでなく、サイバーレジリエンスを導入することも重要です。

また、エンドポイントセキュリティといったセキュリティツールで防御することも効果的でしょう。たとえば、「Webroot® Business Endpoint Protection」で自社のエンドポイントやWebサイトのフロントエンドを保護します。「Webroot® DNS Protection」では自社端末やWebサイトの入り口対策が、「Carbonite® Endpoint」ではそれぞれのデータの保護が可能です。

社内で「Microsoft 365」を利用している場合は、「Carbonite® Backup For Microsoft 365」でバックアップを作成すると、より効果的でしょう。