多くの企業・組織では、個人情報をはじめとする様々なデータを利活用しており、そのデータが保存されているのは、インターネットに接続されたPC、社内サーバやクラウド上など、その多くはインターネットに接続された場所です。
インターネットを利用するということは、不正アクセスやマルウェア感染、情報漏えいの危険が潜んでいます。
インターネットに接続されていると、不正アクセスをされたり、悪意あるウイルスを送られたり、Webサイト上にウイルスを仕込まれていたりといった、様々な危険が潜んでいます。
そんなセキュリティインシデントで信頼や金銭を失う前に、日ごろから従業員には気を引き締めてもらう必要があります。
今回は、なぜ情報セキュリティ対策が必要なのか、セキュリティ教育に使える資料や目的、実施方法まで紹介します。
また、実際にご利用いただける効果的な従業員教育の手順書を無料で配布しています。 自社で情報セキュリティ教育を実施しようと考えている担当者の方は、ぜひこの機会にご活用ください。
情報セキュリティ研修の概要と目的
そもそも、情報セキュリティ研修は何のためにあるのか、おさらいしてみましょう。
情報セキュリティ研修の概要
情報セキュリティ研修は、従業員のセキュリティ意識・セキュリティリテラシー向上により、情報セキュリティ事故を未然に防ぐための研修です。
セキュリティ対策は、直接的に売り上げをあげるものではありませんが、情報漏えいが起きてしまった場合の巨大なダメージを防止するという意味で、ビジネスにおいて極めて重要です。
情報セキュリティ研修の目的と重要性
情報セキュリティ研修は、多くの企業にとって問題がある「リスク」を軽減する研修といえます。
一般社団法人 日本損害保険協会「中小企業のリスク意識・対策実態調査 2023」によれば、日本の経営者の82.8%がサイバーリスクに、81.3%が情報の漏えいに経営課題として関心を寄せています。
「それほど大きい規模の事業じゃないから大丈夫」「扱っている情報量は多くないから、自分たちには関係ないかも」と思った方もいるかもしれません。
ですが、それは大きな間違いです。
サイバーリスクは、企業内で保有するデータ量も重要ではありますが、それ以上に取り扱っている情報の内容によっても、大きく重要度は変わります。
たとえば氏名や電話番号と言った顧客の個人情報があれば、サイバー攻撃の標的となる可能性があります。
これらの情報を守るために、セキュリティ対策を実現するには「オペレーション」「システム」「人」の3つの要素から考える必要があります。
この中でもっとも重要な要素は「人」です。
どんなに優れたルールを定め、完璧なシステムを利用したとしても、それを業務で使用する「人」が適切な扱いをしなければ、情報漏えいをはじめとするセキュリティ事故につながってしまうからです。
従って、従業員一人一人のセキュリティリテラシーを向上させるために、情報セキュリティ研修は重要です。
情報セキュリティ研修でやるべき内容と使える資料
情報セキュリティ研修でやるべき内容
当然ではありますが、情報セキュリティ研修でやるべき内容は、それぞれの会社によって異なります。そこには、業種、対象者、業務内容、事業フェーズ、取得している認証など、あらゆる要因が存在するからです。
とはいっても、基礎に置くべき内容はどの会社でも変わりません。
まずは、「法律」「規格」「情報セキュリティポリシー」の分野から見ていきましょう。
まず実施すべき情報セキュリティ研修「法律」
法律、つまりコンプライアンスの遵守です。
法律は国が定めた一番強固なルールであり、この法律を破ってしまうと、懲役や罰金が課されます。
それは、個人だけでなく会社でも同じです。
例えば、個人情報を業務を超えた範囲で利用すると、法律違反になってしまいます。
「知らず知らずのうちに法律を破ってしまっていた」「知ってはいたけど、めんどくさくて破ってしまった」そんなことを従業員が起こさないように、しっかり伝えましょう。
まず実施すべき情報セキュリティ研修「規格」
代表的な規格は、ISMS(情報セキュリティマネジメント)規格です。
この規格は、情報セキュリティマネジメントが適切に実施されている企業であることが国際的に証明できるもので、社外へのアピールにつながります。
実際に認証を取得しなくても、この規格は情報セキュリティ対策の枠組みとしてかなり洗練されたものですので、自社でのセキュリティ対策及びセキュリティ教育に非常に参考になります。
まず実施すべき情報セキュリティ研修「情報セキュリティポリシー」
情報セキュリティポリシーとは、自社で「どんなルールのもとに情報を取り扱っているか」を社外に示すものです。
企業はこのルールに乗っ取って情報を取り扱っているため、このセキュリティポリシーを守らない方法での運用は想定されません。
自社の情報セキュリティポリシーを学ぶことが、会社で決められたルールを守る、ひいては会社を守ることにつながります。
情報セキュリティ研修で使える資料
研修で利用する資料としては、なるべく信頼できる企業・団体が提供しているものにしましょう。
自社で用意しても構いませんが、専門家が用意したものを利用する方がかんたんですし、抜けもれなく実施できます。
下記に、セキュリティ研修で使える資料を提供しているサイトをいくつかご紹介します。
独立行政法人情報処理推進機構(IPA)
独立行政法人情報処理推進機構は、経済産業省が所管する日本のIT国家戦略を技術面・人材面から支えるために設立された独立行政法人です。
日本のソフトウェア分野における競争力の総合的な強化を図るため、様々な有益な情報が無料です。
JPCERT コーディネーションセンター
JPCERT コーディネーションセンターは、コンピュータセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信をおこなっています。
特に新入社員向け研修に利用しやすい資料は以下の通りです。
内閣サイバーセキュリティセンター
内閣サイバーセキュリティセンターは、2015年1月9日に日本国政府が内閣官房に設置した組織です。
また、上でご紹介した資料を組み合わせるのもよいでしょう。
業務に関係する内容、直近に社内外で発生した事例にまつわる内容を重点的に紹介すると、従業員の意識づけとして有効です。
情報セキュリティ研修サービスを利用する
ここまで、情報セキュリティ研修に利用できそうな資料を紹介しました。
ただ、これらを研修に利用するとしても、担当者にとって
- 資料の選定
- 研修計画・実施等の取り回し
- 受講者の理解度チェック
- 効果の把握と改善
などの業務負担は大きいです。
そこで、外部の情報セキュリティ研修サービスを利用するという方法もあります。
例えば、セキュリティ研修コンテンツの他に、クラウド上で受講管理・効果測定までしてくれるサービスもあります。
「セキュリオ」はその代表的なものです。ISMSコンサルタント監修の90種類以上のeラーニング教材が3ステップでかんたん配信でき、理解度チェックテストとレポーティングがついています。
また、標的型攻撃メール訓練、毎週配信のミニテストと組み合わせて従業員のセキュリティ意識・リテラシーを効果的・効率的に改善することができます。
「セキュリオ」では教材のサンプルを公開しているので参考にしてみてください。
情報セキュリティ研修の実施方法
情報セキュリティ研修を実施する際の流れをご紹介します。
1.研修で従業員に身につけてほしい知識・技能の決定
どこに重点をおいて、教育して、どんな知識を身に着けてほしいかを選定します。
2.研修対象者の決定
教育の目的が定まったら、次に情報セキュリティ教育の対象者の中から、どんな優先順位で、どんな内容を教育していくか決めましょう。
対象になるのは会社に関わる従業員全員です。自社の従業員だけでなく、必要に応じて契約社員・外部委託先の社員なども教育を行いましょう。
3.教材を準備し、頻度、教育方法の策定
対象者が決まれば、教材を準備し、教育の頻度やタイミングをあらかじめ決めておきます。
特に、教育は何度もやることで知識が定着するので、頻度を決定した後は、業務の1つとして実施できるようにスケジュールを組みましょう。
また、教育方法も決定しておくことで、いつまでに会場や講師を準備しなくてはいけないのか、業務の管理をしやすくなります。
4.研修を実施
ここまで、準備ができたら、実際に教育を実行に移します。
5.研修の効果を測定・見直し
教育は実施したら終わりではありません。テストやアンケート、標的型攻撃メール訓練等の演習を通じて、研修の成果、すなわち従業員の知識定着度・理解度を測ります。
この一連が情報セキュリティ研修の流れであり、最後に見直した結果を踏まえた効果改善をしていきましょう。
情報セキュリティ研修の流れについては「情報セキュリティ教育の実施方法とは?具体的な手順について解説」でも紹介しています。あわせてご覧ください。
情報セキュリティ研修を効果的に実施する方法
セキュリティ研修を効果的に実施するためには、いくつか気を付けるべきポイントがあります。
セキュリティ研修の効果を高めるために意識しておきたいポイントを3つ解説します。
1.従業員全員に当事者意識をもってもらう
情報漏えいを引き起こすのも、防ぐのも、「人」です。
業務にかかわる従業員一人一人の心がけ次第で、情報漏えいを引き起こす可能性が変わります。
全従業員が自組織の情報にかかわるものとして当事者意識を持ち、適切にセキュリティ対策を実行していかなければなりません。
そのため、従業員が身近に感じやすいリスク事例や、それが実際に大きなインシデントに発生した事例を取り上げることで、従業員が情報セキュリティは他人事ではないのだと認識できる研修にしましょう。
2.再現性の高い研修内容にする
ここでいう再現性とは「実際に使える・起こりうる」という意味です。
どんなに丁寧な研修を実施しても、従業員が現場で適切な対応を行えなければ意味がありません。
「セキュリティアップデートの通知が来たら、速やかに更新しておく」「スマートフォンのバージョンアップは後回しにしない」「離席する際はパソコンにロックをかける」といった、日頃から誰もがすぐに実践できるよう実用的な内容もしっかり伝えていきましょう。
定期的にアンケートを実施し、そうした日常のセキュリティ対策を適切に対応できているかの確認をすることも重要です。
3.インシデントによる企業への影響を伝える
実際に発生していない情報セキュリティインシデントの恐ろしさを身をもって理解するのは難しいです。
なので、研修の際は、セキュリティ事故によるインシデントで具体的な例をあげ、どんな影響があるのか、どんな罰則が適用されてしまうのかをありありと紹介して、危険性をしっかりと認識してもらいましょう。
ここで説明したとおり、従業員の当事者意識は非常に重要です。例えば、標的型攻撃メール訓練の実施や、再現性のある事例の紹介は、研修では確実に実施したいところです。
「セキュリオ」では、豊富な事例が載った教材による研修で従業員に情報セキュリティの恐ろしさを学んでもらい、標的型攻撃メール訓練や毎週配信のミニテストで当事者意識を持ってもらい、アンケート機能を通じた実施状況チェックで日常業務への落とし込みも確実にできます。
まずは無料ではじめましょう。
情報セキュリティ研修の事例
「セキュリオ」を活用した情報セキュリティ研修の事例をいくつか紹介します。
セーフィー株式会社様
クラウドカメラをはじめとした映像サービスを提供するセーフィー株式会社では、全社的に年1度の情報セキュリティ研修を実施し、新入社員には入社時研修を実施しています。
セキュリオのeラーニングでは、かんたんに全社員にeラーニング教材と確認テストの配布ができるため、社内のセキュリティ意識・リテラシーのバラつきを軽減し、全社的なセキュリティ意識向上につながります。
加賀市役所様
「スマートシティ加賀」を掲げ、地域課題にIoTやビッグデータを活用したアプローチをとっている石川県加賀市では、これまで一般的に「守り」の施策だと思われがちだった情報セキュリティ対策を「攻め」の施策として実行しているそうで、その一環として「セキュリオ」によるセキュリティ研修を実施されています。
集合研修の場合は、担当者が従業員のまとまった時間を確保する必要がありましたが、eラーニング形式のセキュリオを利用することで、従業員それぞれで空いた時間に受講してもらうことができ、担当者と受講者の負担軽減に繋がりました。
より身近なインシデント事例を知ることができるという点、導入実績も豊富であったことから導入を決めたが、毎月教材が更新されるセキュリオはセキュリティ意識向上に大きく役立っている評価をいただいています。
情報セキュリティに非常に効果的で、最小限の労力でのISMS認証取得にも役立つ
GIS(地理空間情報システム)や組込みシステムの開発など、高い技術力に裏打ちされた様々な開発を手がける株式会社アイ・ピー・エルでは、ISMSの運用に伴い、年1回の頻度で情報セキュリティ研修を実施しています。
その際、「セキュリオ」eラーニングの「情報セキュリティ定期研修」教材を利用していただいています。
もともと集合研修形式で実施していましたが、従業員の理解度や定着度が見えづらく、受講結果がかんたんに確認できる「セキュリオ」を導入するに至ったそうです。
eラーニング以外にも、標的型攻撃メール訓練や社内アンケートと組み合わせて効果的に従業員教育を実施していただいています。
まとめ
情報セキュリティの研修について解説しました。
情報セキュリティ研修は分野や業種、会社の規模も問わず、すべての企業にとって、重要な研修です。会社の信頼を失わないためにも、従業員全員が当事者意識を持てるような研修を実施していきましょう。
もし、自社でも情報セキュリティ研修を検討しているものの、予算や時間が取れていないという場合には、LRMの「セキュリオ」がおすすめです。
eラーニング形式で、時間や場所を選ばずに実施でき、講師を招いて会場を抑えるよりも、手軽かつ安価で導入できます。
