情報セキュリティ教育の必要性とは?低コストで効果を出すノウハウを伝授
- 情報セキュリティの教育をどのように進めていくべきでしょうか?日々の業務があるため、時間や費用といったリソースも限られています。
- コンピューターとインターネットを使って業務をしているのであれば、定期的に研修を行うことをおすすめします。目的を明確にして教育を行えば、時間や費用をかけずに効果を出すことができますよ。
IT機器やIT環境が業務に欠かせなくなった今、企業を狙ったサイバー攻撃が後を絶ちません。
そんな中、あなたの会社では「情報セキュリティ教育」を実施していますか?
世の中には、企業のITセキュリティの脆弱性を狙い情報漏洩や金銭被害などの重大な被害をもたらす第三者が数多く存在します。
この脅威に対抗する様々なシステムやサービスが存在しますが、それらを導入する前にまずは「罠にかからない」「失敗しない」ということを社員に教育することでリスクを回避する、「情報セキュリティ教育」が極めて重要です。
そこで今回は、「情報セキュリティ」について以下の4点を詳しく解説します。
- 情報セキュリティ教育の必要性
- 教育の計画的な進め方
- 教育におすすめの無料の教材・資料
- 短時間でも効果を出せるポイント
教育の必要性をはじめ、不要なコストをかけずに実施して効果を出す秘訣まで詳しく解説するので、セキュリティ強化に迫られている企業のIT担当者は必見です。
情報セキュリティ教育の必要性とは?企業の被害事例から再確認
- 個人のパソコンにはウイルス対策ソフトを入れていますし、セキュリティ対策に問題はないのではないでしょうか?
- 昨今は、ウイルス対策(マルウェア対策)だけではセキュリティ対策は十分ではありません。一般利用者を巧みに誘導して攻撃するような巧妙な手口も増え、十分な対策を行っているはずの大企業でも被害が出るような事例が出ています。
「ウイルス対策ソフトがあれば安心」
「OSアップデートもしっかり実施している」
もちろん、現在でもこれらの対策は必要不可欠です。
しかし、近年は、ウイルスだけではないさまざまな手口のサイバー攻撃が発生しており、実際に被害を受けた企業も多くあります。
ここでは、実際に起こったサイバー攻撃事例をいくつか取り上げ、情報セキュリティ教育の必要性を再確認しましょう。
情報セキュリティ事故による被害事例
近年発生しているサイバー攻撃やセキュリティ脅威は、情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威 2022年」が参考となります。
そのなかでも、特徴的なサイバー攻撃を以下に示します。
ランサムウェアによる被害
ランサムウェアは、会社内のデータやシステムを暗号化して使えなくすると同時に金銭を要求する、マルウェア(コンピュータウイルスなど、悪意ある動作を行うソフトウェア)の一種です。
「ランサム(Ransom:身代金)」と「ソフトウェア」を組み合わせてランサムウェアと呼ばれます。
大手有名企業でも、このランサムウェアによって一時的に業務停止に追い込まれるなどの被害が報道されています。
ランサムウェアが侵入する代表的なパターンとして以下のような流れです。
- 1.スパムメールやフィッシングメールなどから不正なwebサイトに誘導する
- 2.不正プログラムが仕組まれたwebサイトを訪問しコンピューター内にランサムウェアを仕込む
標的型攻撃による機密情報の搾取
従来のフィッシングメールは、不特定多数が引っかかるような文面が使われます。
例えば「銀行口座に不正な操作が見られたため、ログインして確認してください」などといった手口があります。
しかし「標的型攻撃」は、特定の会社や組織に向けて手口をカスタマイズします。
たとえば、実際の取引先、実在する人物名、普段の業務で使われるような文面で巧みに不正サイトに誘導させます。
不正サイトで情報を搾取したり、マルウェアを侵入させたりといった手口です。
テレワーク等のニューノーマルな働き方を狙った攻撃
新型コロナウイルスのまん延によって、多くの企業でテレワークが行われていますが、在宅勤務のセキュリティの弱さに付け込んだサイバー攻撃も台頭しています。
クラウドやweb会議システムの脆弱性を狙って情報を搾取したり、web会議開催を装った通知メールを不正サイトに誘導させたりといった、従来の働き方にはなかったリスクが発生しています。
被害を防ぐには教育計画の策定と定期的な周知が必要
こういったサイバー攻撃による被害は、システム的な対策で低減させることは可能です。
しかし、先に記述した標的型攻撃や、会社の外に環境を置くテレワークでは、システム的な対策だけでは限界があります。
コンピューターは人間が操作する以上、最後に判断するのは人間です。
「いつもとは違うな」「このメールは怪しいのではないか?」とワンステップおくことができれば、リスクは大きく低減できます。
知識と経験を「お作法」として身に着けるなら、教育(研修)が一番です。
そして研修は1度行えば身につくものではなく、フォローアップを行うか、繰り返し行うことで効果が出てきます。
とくに、情報セキュリティは手口や新しい脅威が頻繁に登場することも考えれば、計画的に繰り返すことが重要です。
計画的な情報セキュリティ教育の進め方
そもそも教育は、PDCAアクションを回しやすい仕組みです。
ビジネスの場合は、不確定要素も多いためPDCAを回そうと思っても計画通りに進まないことがよくあります。
中でも情報セキュリティは、定期的に教育・周知をするにはもってこいの題材です。
以下に、1年周期で情報セキュリティ教育を組み立てるサンプルをご紹介するので、ぜひ参考にしてみてください。
- P(Plan・計画)
毎年6月~8月。今年度の実施日(9月)を決め、直近のセキュリティ脅威や自社のトラブル・ヒヤリハットを収集し、自社向け教育計画を策定。 - D(Do・実行)
毎年9月。研修の実施。あらかじめ実施時期を周知して欠席がないようにする。 - C(Check・評価)
毎年9月。研修の実施後に理解度テストを実施し効果を測定。 - A(Act・改善)
毎年10月実施。研修の参加状況・理解度テストの評価、その他参加者のアンケートなどを通じ、事前度の研修に向けて改善を行う。
会社ごとの会計年度や繁忙時期から、必ずしも上記のようなスケジュールになるとは限りませんが、1年単位で決められた時期に行うことが望ましいです。
のちほど、さらに研修を効果的に実施するコツも記載します。
情報セキュリティ教育には無料の教材や資料を活用しよう!
- 研修をするにも、テキストや教材が必要ですよね?いちから作成する時間はありませんし、コストもできる限り抑えたいと思っています。
- 汎用的な研修教材であれば、「官公庁」や「研究機関」が資料を無償公開しています。最新の情報がわかりやすく整理されており、一般利用者向けとしては十分な内容ですよ。
「研修を行うにも、研修用テキストを準備する時間が十分取れない」という不安がありませんか?
実は情報セキュリティ研修に関しては、その心配はありません。
官公庁や国立の研究機関で、企業や組織のセキュリティ活動を推進するための各種資料が無償で公開されています。
権威性の高い期間の資料ですので、当然ながら、情報の信頼性もきわめて高いです。
さらに、ITに詳しくない方でもしっかり理解しやすいレベルで構成されています。
このテキストを一通り読むだけでも、セキュリティに関するごく基本的な流れを理解できます。
代表的な公開資料について、以下に説明します。
IPA「情報セキュリティ対策支援サイト」
情報処理推進機構(IPA)は、経済産業省が管轄する、日本国内におけるIT人材の育成や情報セキュリティに関する情報公開を行っている組織です。
国家試験である情報処理技術者試験もIPAが運営しています。
IPAの公式ページのメインコンテンツが「情報セキュリティ対策支援サイト」です。
構成はシンプルなテキストページですが、近年は動画によるコンテンツも増えており、わかりやすくなっています。
専門的に学びたい人にも、IPAの発表した各種資料などの引用元リンクも掲載されています。
>情報セキュリティ対策/情報処理推進機構(IPA)<
総務省「国民のための情報セキュリティサイト」
総務省からも、情報セキュリティに関する紹介サイトが公開されています。
こちらはIPAに比べるともっと一般的な内容となっていますので、基礎からしっかりと学べます。
上記ページはPDF版も公開されており、配布資料として活用することも可能です。
わかりにくいIT用語に関する用語辞典ページもあり、近年話題となっているワードには「重要ワード」アイコンが示されています。
情報セキュリティの社内教育は「理解度クイズ」も効果的!
- 研修を行っても、しっかりと社員に認識が共有できているか心配です。
- 研修のカリキュラムの一つに「理解度クイズ」を含めて、特に重要な点を復習できるようにしましょう。実施者にとっては、研修の参加率や理解度テストの点数を取りまとめれば、研修の実施実績を目視化できます。
プライバシーマーク取得企業やセキュリティ認証ISMSをもつ企業では、年1回以上の情報セキュリティ研修の実施とともに、理解度の測定が求められます。
これら認定企業や、そうでなくてもすでに研修や理解度クイズを実施されている企業もあると思いますが、より効果的な理解度クイズを作成するポイントについて簡単に説明いたします。
方法①引っ掛け問題は不要、作成者も受験者も時短で実施
理解度クイズは、基本的な理解が浸透していることを確認できれば良いです。
引っ掛け問題などをせず、研修を受けていればわかるような内容で十分です。
〇か×かの2択問題や、適切な選択を選ぶ4択問題などを10~20問としましょう。
問題作成者は1~2時間で、テキストエディタでも問題を作れるのではないでしょうか。
理解クイズ実施時の回答時間も10分もあれば十分です。
集合研修であれば、問題用紙を配布し、終了後提出すれば簡単に回収できます。
テレワーク等により集合研修は難しい場合、Google FormsやMicrosoft Formsなどを活用してオンラインで受験・提出できるようにするとよいです。
方法②重要な対策は繰り返し周知する
「毎年理解度クイズを作成するのは手間である」と思われるかもしれません。
毎年作り直せるのは理想ではありますが、考え方を転換し、重要な対策であれば同じ問題を理解度クイズに毎回登場させても良いのです。
例えば、「心当たりのない添付ファイルは開かない」「パスワードを付箋でディスプレイに貼ってはいけない」など、当たり前と思えることでも重要な事は理解度テストの常連問題にすることで社内周知を徹底させます。
重要なのは、研修や理解度テストを通じて情報セキュリティの社内認識レベルを一定の水準に合わせることです。
方法③社内の事例を盛り込み効果を高める
方法②では毎回理解度テストに同じ問題を出しても問題はないとしましたが、せっかくなので1~2問はオリジナルな問題作りに挑戦してください。
そこには、「社内の具体的な事例」を採用します。
もし、この問題作成に悩むような場合、会社の認識している具体的なリスクが把握できていない可能性があり、それ自体もある意味でリスクです。
問題作成に当たっては、社内で発生したトラブル、もしくはトラブルにまでは発展していないヒヤリ・ハット系の具体的な事例について正しく把握しておきましょう。
これらのリスクを把握すること自体も、研修だけではなく、最終的に会社のセキュリティ対策の重要な営みとなります。
また自社事例に基づいた理解度テストの問題があると、一般論だけの理解度テストよりも受験者の印象にも残りやすくなるので、より周知効果が高まります。
情報セキュリティ教育の進め方ポイント2選!方法も解説
ここまでに、具体的な教育の計画の仕方、信頼性の高い資料の公開元、理解度クイズについて説明してきました。
ここでは、セキュリティ研修を実施するにあたってのポイントを2つご紹介します。
陥りがちな問題点に注意して、効果的に研修を実施してください。
①研修は「短期集中」「一斉参加」で社員もれなく巻き込む
研修で陥りがちな注意点に、以下のものがあります。
- 多忙な人ほど研修に時間が取れない
- いつでもできる内容なら先延ばしにされる
セキュリティ教育は、知っているか知らないかだけでも大きな差があります。
上記のような人ほど、サイバー攻撃の餌食になってしまう可能性が高いといえます。
一方で、几帳面に研修に参加できる人は常に情報のアンテナを立てているので、研修を受ける前から既に十分なリテラシーを持っている場合があります。
多忙を理由に研修をサボるような人こそが、最も研修を受けるべき人たちと言えます。
解決するために「複数回に分けて実施」「自学自習で実施し理解度テストを行う」「研修を動画で撮影し参加できない人は後で見る」などの妥協案もあります。
しかし本当に効果を出すのであれば、もっと思い切った対策が良いです。
- 研修実施回数は最小限に、時間をしっかり区切って短期集中で行う
- 個別対処をせず、可能な限り「一斉参加」で行う
つまり、セキュリティ研修を「全社イベント」としてとらえ、ある特定の日の、特定の時間を事前にしっかり確保してもらい、そのタイミングで全員一斉に研修を受けるようにします。
集合研修でやろうとすると、以前は場所の確保や人の移動などの考慮が難しかったかもしれません。
今はWeb会議を使えば、場所の問題は解決できます。
あとは時間を確実に確保することだけなので、以前よりも実現しやすいのではないでしょうか。
短時間でも一斉に集まる、もしくはweb会議に参加することで、その時間、情報セキュリティについて全社員が集中して考えるという経験や体験が大切です。
②全社イベントにして役職者や社長も巻き込む
研修というと、どうしても目先の業務を優先してしまい、優先順位が下がってしまいがちな人がいます。
そうした人たちこそが、リスクの最前線に立っており、誰よりも研修に参加させるべき人たちというのは先に述べました。
さらに「全社イベント感」を出すには、管理者や役職者、社長も巻き込んで、経営層にもしっかりと研修を受けてもらいましょう。
社長や役職者が率先して参加することで、部下の参加も促します。
社長や役職者も、普段はパソコンやインターネットを使って業務をしているのであれば、当然セキュリティ研修の対象者です。
ただし、そのような役職の方は、基本的なセキュリティについて十分理解している場合もあり、受ける必要はないという返事が来てしまうかもしれません。
その場合は本稿の理由を示し、ご本人の理解度測定が目的ではなく、全社一斉を演出するための協力であることを伝えましょう。
なお、ごく稀ではありますが、セキュリティ対策の認識自体が低い経営層の方がいらっしゃいます。
情報セキュリティは経営リスクに直結する重要な課題であることを認識されていない場合は、それはそれで大きなリスクですので、研修の前に該当者を説得しましょう。
その際に使える資料として、経済産業省の「サイバーセキュリティ経営ガイドライン」をぜひ参考にしてください。
まとめ
情報セキュリティ教育について、いかがだったでしょうか?
情報セキュリティは自社の資産を守る重要な営みであり、ある程度体系化された情報が多く公開されています。
情報セキュリティ教育自体は利益を生みませんが、リスク発生時の損失は計り知れません。
対象者は情報機器を扱う人たち、多くの場合はほぼ全社員です。
全社員に共通の認識を浸透させることは容易ではありませんし、時間もかかります。
本稿を参考に、社内教育を体系化させ、適切な情報セキュリティの知識が浸透し、リスクに対抗できる組織となることを願っております。
セキュリティ対策は万全ですか?不安ならOFFICE110へご相談を
セキュリティ教育と同時に、システムやツールを使ったセキュリティ対策も重要です。
そこで最後にご紹介するのが、全国に導入実績12万社以上、セキュリティから機器の販売、設置工事、アフターサービスまでトータルサポートする「OFFICE110」。
企業に必要なセキュリティ製品が揃う上に、知識豊富な専門スタッフによるサポートが受けられ、セキュリティに不安な企業様でも安心してご利用いただけます。
さらにOFFICE110では通常は10万円以上のセキュリティ調査(診断)を、今なら無料で実施中。
「自社にどんなセキュリティ対策が必要なのかわからない」「何から始めたら良いのかわからない」そんな方におすすめです。
セキュリティ対策についてのご用命・ご相談があれば、ぜひOFFICE110へお問合せください。