組織のレベル向上には従業員のセキュリティリテラシー向上がカギ

セキュマガを読んでいただいている皆様の中には、組織の情報セキュリティレベルを上げるため、

を考えている方がいるかもしれません。

それらの方法は確かに効果的であり、企業のセキュリティレベルを向上するには重要な要素です。
ですが、ツールの導入やルールの厳格化よりも優先すべきことがあります。

それは、従業員のセキュリティリテラシーを向上させることです。どんな優れたルールがあっても、それを遵守し、実際のセキュリティリスクに対する正しい知識が従業員に備わっていなければ、意味がありません。

では、従業員のセキュリティリテラシーを向上させるには、どうしたら良いのでしょうか。
今回は、その方法について詳しく解説します。

また、セキュリティリテラシーにはどんな種類があるのか気になる方、自身のセキュリティ理解度を把握したい方は、テーマごとの設問でセキュリティ理解度をチェックできるテストを無料で配布していますので、ぜひご活用ください。

セキュリティリテラシーとは？

セキュリティリテラシーとは、「情報セキュリティにおいて、正しい知識を持ち、社内の機密情報などを適切に取り扱うことができる能力」です。

セキュリティリテラシーを向上させることで、企業の情報や顧客情報などのデジタルデータを守ることができるでしょう。

セキュリティリテラシーの教育方法には、「セキュリティに関するマニュアルの整備」「セキュリティにまつわる研修の実施」「定期的なセキュリティチェックリストの実施」などがあります。

重要なのは、その会社に携わる従業員全員がセキュリティリテラシーを身につけ、セキュリティに対する意識を高く保つことです。

従業員のセキュリティリテラシーは組織のセキュリティ強度に直結

セキュリティに関する事故や事案などを総称する言葉として「インシデント」という単語が使われています。

インシデントと聞くと、サイバー攻撃や不正アクセスのように悪意を持った外部の人物による攻撃をイメージするかもしれません。

しかし、「メールの誤送信」「パソコンの紛失」「情報の誤掲載」などの社内の従業者によるミスもインシデントです。

このほかには、不審なメールの開封や不審なサイトへのアクセスによるマルウェア感染なども従業者のミスによるインシデントといえるでしょう。

こうした、従業員のセキュリティリテラシーや意識の不足に起因するセキュリティインシデントにも、細心の注意が必要です。従業員のセキュリティレベルが組織のセキュリティレベルに大きく影響を及ぼします。

つまり、従業者の意識そのものが組織の情報セキュリティのレベルに深く関わっており、従業者のセキュリティリテラシーを向上させることが、組織の情報セキュリティレベル向上につながると言えます。

従業員のセキュリティリテラシー向上には、情報セキュリティ教育が必要不可欠です。

まずは無料のチェックテストで確認しましょう。

従業者のセキュリティリテラシーを向上させる方法は3つ

ここでは従業者のセキュリティリテラシーを向上させるための方法を3つ紹介していきます。

3つの方法の全てに共通して意識するべきことは、これらの方法を「定期的に行う」ことです。

たとえ同じ内容でも繰り返し行うことで、従業員のセキュリティリテラシーや知識、技術が向上して、組織全体のセキュリティリテラシーの向上につながります。

四半期に1回やできることなら月1回など従業員にとって情報セキュリティが身近になるレベルの頻度で行うことで効果は高まっていきます。

LRMのセキュリオでは、かんたんなミニテストを毎週自動で配信できるセキュリティアウェアネス機能で効果的な教育が可能です。

1.情報セキュリティ教育を実施する

1つ目は、eラーニングや集合研修などの方法で従業者教育を行うというものです。この方法は、ISMSの取り組みの中で実施しているという組織も多いのではないでしょうか。

従業員の情報セキュリティ教育を実施する手順・方法についてはこちらの記事で詳しく解説しています。

情報セキュリティ教育の頻度を上げてみる

情報セキュリティ教育は、基本的には年1回のみ実施するという組織が多いと思います。

その場合、従業員に情報セキュリティの意識が浸透しづらいので、もう少し頻度を上げて半年に一回や四半期に一回など行うことで、従業者にとって情報セキュリティがより身近になりリテラシーの向上も期待できるでしょう。

頻度を上げる場合には、eラーニングの導入や動画配信など、場所や時間を選ばず実施できる方法を導入することが望ましいです。

集合研修とeラーニングを組み合わせる

eラーニングと集合研修、いずれの手段にもメリット・デメリットがあります。

そこで、基本はeラーニングなどで行いつつ半年や年 1 回集合研修を行う、と言うのも一つの手です。

集合研修として、グループワークなどほかの従業員とチームを組んで主体的に学ぶ場を作る、といった機会も設けることで、従業員の情報セキュリティリテラシーをより向上させ、身近なものにすることができるのではないでしょうか。

日常的に注意喚起をする

eラーニングや集合研修などを実施しただけでは、十分なセキュリティリテラシーを身に付けることは困難です。

学んだことを日々反復して実践することが大事であり、そのための方法として、1ヵ月に1度セキュリティチェックデーを設けるなどして、社内に普段から注意する点を浸透させることがおすすめです。

具体的には、eラーニングや集合研修で学んだ内容を元にして、テストなどで知識の定着具合をチェックし、定着していない場合は資料を再読させましょう。

こうした取り組みは、従業員にとっては煩わしいと感じられてしまう可能性がありますので、従業員が情報セキュリティリテラシーを身に付けることの重要性を丁寧に説明して、理解してもらうことも重要です。

またこのような日常的な注意喚起として、業務で使用しているIDカードやUSBメモリなどの紛失がないかどうかもチェックするとよいでしょう。

2.情報セキュリティ関連情報をチャットで共有する

2つ目の方法は、情報セキュリティ関連情報をチャットで共有することです。

情報セキュリティリテラシーを身に付ける取り組みは、どちらかというと教育・啓発的な側面が強く、従業員にとっては自分事として捉えられないケースも多いです。

そのような場合には、実際のインシデントニュースや脅威についての情報を発信することで、従業員にとって身近に感じてもらったり、注意力の向上を促したりするというのも手です。

まずは、情報セキュリティ管理者や担当者が発信していきましょう。

情報セキュリティ関連情報の発信サイトとチャットを連携させる

発信する内容を日々情報セキュリティ担当者がリサーチし、ピックアップするのは大変かもしれません。

その場合には、IPAやJPCERT/CCのような情報セキュリティの専門機関やニュースサイトとRSS連携（利用者がWebブラウザで各サイトを回らなくても、購読しているサイトの更新情報をリアルタイムにチェックすることができる機能）を行うなどして、新たな情報が発信され次第、チャットにも共有される仕組みを作ると、工数の削減にもつながり、良いかもしれません。

当サイトも情報セキュリティにまつわる情報を多数発信しておりますので、お役立ていただけますと幸いです！

従業者同士で双方向型にやり取りできるチャットルームにする

従業者の皆さんの情報セキュリティ意識が高まってきたら、情報セキュリティ管理者や担当者が一方的に発信するのではなく、従業者の方でも気になったニュースや情報があれば発信し、その発信に対し自由にコメントできるといった双方向性のチャットルームを作成してみてはいかがでしょうか。

実は、LRMでも、情報セキュリティに関するニュースを自由に投稿できるチャットルームが存在しており、各従業者が気になったニュースがあれば随時投稿やコメントしています。
この方法は従業者が情報セキュリティに関する情報を積極的に探したり、多角的な意見を得たりする場としても有効的なものです。

朝会などでMyセキュリティニュースを共有する

3つ目は、朝会などでMyセキュリティニュースを共有する方法です。

ここまでで紹介したチャットで共有する方法はレベルアップしていくにあたり、非常に有効なものです。
しかし、チャットでの共有などはするもしないも自由というところがあるため、従業者間で積極性やレベルの差が生まれてしまうかもしれません。

そこで、朝会などでMyセキュリティニュースを共有する方法がおすすめです。

例えば、毎日顔を合わせる朝礼で、最近気になったニュースを曜日ごとの担当者が発表していく、という形式。
発表するという過程が必要になるため、従業員自身がしっかりそのニュースを理解する必要が発生します。

大変な作業にはなりますが、その分従業員にとってはかなり情報セキュリティ意識が向上する方法ともいえるでしょう。

従業者の意思を尊重して行う

Myセキュリティニュースを共有する方法は、今回の記事で挙げたほかの方法とは異なり従業者の主体性が必要になる取り組みです。

もしかすると従業者の方があまり前向きではなく、どういったことを拾っていけばいいかわからない、といった問題も発生するかもしれません。

セキュリティリテラシー向上のために、チームの空気が悪くなるといったことがあってはなりませんので、導入してみて意味のあるものになるかどうか検証したうえで、本格導入することをおすすめします。

3.従業者の情報セキュリティリテラシーが上がってきたところで取り入れる

どれだけ対策していても、情報セキュリティ事故を100%防ぎきることは困難です。
大切なのは、事故が発生したときの対応と、再発防止の取り組みです。
万が一セキュリティ事故が発生したら、その理由を追求して根本的な原因を探しましょう。

具体的には、システムやサーバーへのアクセスログの分析や、従業員からのヒアリングなどが一般的です。
外部の専門家に意見や対応を依頼することも出てくるかもしれません。
原因が判明したら、しっかり改善・対応を実施し、同じ事故が二度と発生しないよう、従業員に周知徹底しましょう。

まとめ

セキュリティリテラシーについて解説しました。
従業員のセキュリティリテラシーを高めるために、やはり情報セキュリティ教育は極めて重要です。

しかし、なかなか、情報セキュリティ担当者が忙しかったり、従業員がまじめに教育を受講してくれなかったり、課題が多いことと存じます。

そこで、LRMのセキュリティ教育クラウド「セキュリオ」がオススメです。

eラーニングでは、セキュリティコンサルタント監修の教材が90種類以上利用可能、毎週配信のミニテストや、豊富なテンプレートから送り放題の標的型攻撃メール訓練と組み合わせて効果的に従業員のセキュリティリテラシー向上が可能です。