企業に求められる情報セキュリティ教育とは

セキュリティの脅威は日々進化していき、またテレワークの導入などによりセキュリティについて見直しが行われています。

しかし、情報セキュリティ対策として見落としがちなのが、社員に対する情報セキュリティ教育です。

そこで今回は、企業に求められる情報セキュリティ教育についてご紹介します。

目次

1. 情報セキュリティ対策とは

2. 情報セキュリティ対策の必要性

3. 情報セキュリティ対策の方法

4. 情報セキュリティ教育の進め方

5. 情報セキュリティ教育は新入社員だけでなく全社員対象での実施が望ましい

6. 情報セキュリティ教育の事例

7. 情報セキュリティ教育の資料はこちらから

情報セキュリティ対策とは、マルウェア感染やシステムの不正アクセス、個人情報等の漏えいなどのリスクから企業の機密情報や顧客のデータを守るための対策です。

IT化が進み、企業の事業にかかわる機密情報や顧客の個人情報をデータで管理するようになりました。データ管理は便利な反面、インターネットを利用する限り全世界どこでもつながる環境にあるため、外部からの攻撃を受けるリスクがあります。

企業は、多様なリスクから機密情報や顧客データを守るために、組織としての対策方針と規則を定め、従業員にその対策方針と規則を遵守するよう教育を行うことが必要です。

これまでにセキュリティ被害に遭ったことがないとすると、情報セキュリティの必要性を感じにくいかもしれません。特に中小企業の場合は、事業投資や営業活動を優先してしまっていることが多いのではないでしょうか。

ここでは、情報セキュリティの必要性についてご紹介します。

セキュリティの脅威には、人的脅威・技術的脅威・物理的脅威があります。

人的脅威とは、人が関わるリスクのことです。例えば、操作を誤ってデータを消してしまう、機密情報などが入ったパソコンや書類などを持ち出し紛失または盗難に遭うことが当てはまります。

技術的脅威とは、プログラムが介する脅威のことで、フィッシングサイトやウイルスによる標的型攻撃などが分類されます。

物理的脅威は、物理的に破損・妨害されることです。地震や台風などの災害や機器の劣化などにより、データやシステムが破損することを指します。

組織で多くの被害に遭っているセキュリティの脅威は、標的型攻撃やビジネスメール詐欺による金銭被害、ランサムウェアによる被害です。中でも、企業サイトを装ったフィッシングサイトよるインシデントが多いとされています。

メールによる詐欺でも、実際にある企業名を名乗りメールを開かせ、記載されたフィッシングサイトへ誘導したり、添付ファイルを開かせたりなど人の脆弱性を狙ったリスクが増えてきています。

取引先や経営者を名乗り、ビジネスメールを装って金銭を要求する巧妙な手口が増えていて、セキュリティシステムを通り抜けられてしまいます。詐欺であることに気づかないように作られているため、よく確認せずに対応してしまう恐れがあります。

組織で気を付けなければいけないセキュリティの脅威として、このような「人の脆弱性」を狙った被害が挙げられます。

情報セキュリティを守るには、まずはセキュリティソフトを導入し、外部からの攻撃を避ける必要があります。

しかし、メールに貼付されたファイルやURLをクリックしてしまうなど、人に起因するリスクはセキュリティソフトだけでは防ぐことができません。

人の脆弱性を狙った攻撃から情報を守るためには、「セキュリティ教育」を行うことが大切です。

従業員一人ひとりのセキュリティ意識を向上させ、怪しいメールやサイトに対して対処できるようにセキュリティ教育を受けます。

さまざまな情報を取り扱うことが日常的であるがために、管理の意識がつい疎かになってしまいます。そのため、社内教育にて情報セキュリティポリシーや起こりうる脅威、脅威への対策などを徹底的に周知します。

従業員に対して、繰り返しセキュリティの重要性について意識付けをしていきましょう。

社内教育にて、情報セキュリティについて周知したら、知識や判断力が身についているか訓練を行い確認します。

訓練では、サイバー攻撃者に扮した技術者が対象である従業員に対して疑似の標的型攻撃メールを送ります。従業員が、疑似メールに添付されたファイルを開いたりURLをクリックした場合は、訓練であることを明かす警告ページへと誘導するなどします。

疑似攻撃を体験することにより、メールによる攻撃への判断能力と知識を身につけることができ、セキュリティリテラシーをより向上させることができるのです。

訓練で行った、疑似攻撃型メールの開封率の結果を可視化します。結果を可視化させることで、利用ユーザーが、フィッシング詐欺などの標的となる可能性を分析することができます。

しかし、結果を可視化させるだけでは、脅威に対して十分に対処できるようになるわけではありません。

訓練での結果をもとに、身に付けなればいけない知識や技能などを把握し、さらにトレーニングを進めていきます。繰り返し訓練を行い、標的型攻撃メールへの対応と判断を身につけることが重要です。

ここでは、情報セキュリティ教育の対象について見ていきましょう。

情報セキュリティ教育は新入社員に対して実施する印象があるかもしれませんが、日々進化する脅威に対抗するため、全社員対象に組織全体で情報セキュリティ教育を行う必要があります。

近年、情報漏えいが増加している背景には、日々開発され巧妙化しているマルウェアとWeb会議ツールやチャットツールなどのシステムを活用した働き方の変化が関係しています。

従来マルウェアが添付されたメールは明らかにあやしい内容が多く見分けをつけやすいものでしたが、近年のマルウェアが添付されたメールは実在する企業・担当者を名乗るため、本物と見間違える内容が多く、マルウェアと気づかずにURLや添付ファイルをクリックしてしまうことも発生しています。

また、2020年以降、感染症対策としてテレワークの導入が進み、自宅のインターネット環境や私物のPCからWeb会議ツールなどのシステムや社内の共有サーバーへアクセスすることも増えています。自宅から業務ツールへアクセスすることによる、個人で所有するPCから社用PC・サーバーへの感染などのセキュリティリスクも増加しているのです。

テレワークと出社勤務を組み合わせるハイブリッドワークの場合、自宅ネットワークでマルウェア感染してしまったノートPCなどの端末を、出社時に社内ネットワークへ接続することで感染が広がるリスクもあります。

上記のようなセキュリティリスクは、情報漏えいの原因となるほか、紛失・置き忘れによる情報漏えい事件や誤送信による漏えいなど人的要因も多くあります。

実際に、企業が保有する個人情報や機密情報が漏えいした場合、顧客からの損害賠償を請求されることもあります。また、損害は賠償額の請求だけではありません。業務の一時停止や営業機会の損失など利益の低下につながることも。

特に、大きな影響が出るのは企業の「社会的信用」です。情報漏えいといったセキュリティ事故を起こしてしまうと、顧客や世間からの企業イメージが低下し、社会的信用を大きく損なうことにつながります。

セキュリティ事故を防ぐためには、技術面でのセキュリティ対策も重要ですが、全社員がセキュリティに対して十分な知識を持っておくことが必要です。誤送信や操作ミスなどによる個人情報漏えいや、マルウェア感染時の対処法など、新入社員だけでなく全社員が把握しておかなければなりません。まずは、組織全体でセキュリティ教育を行い、その後適切なセキュリティシステム導入を行っていくことが望ましいでしょう。

ここでは、実際に弊社の情報セキュリティ教育サービスSecuLitercy（セキュリテラシー）をご活用いただいているお客様の事例をご紹介します。

セブンシステム様が、顧客企業からの要望で効果的な人的セキュリティ対策を模索していたことがきっかけとなり、SecuLitercyをご提案いたしました。教育コンテンツの内容の豊富さ、形骸化の要因となる課題解決につながること、何より運営からフォローまでをサポートする信頼と実績が決め手となり、サービスを導入いただいきました。

SecuLitercyでは、定期的な訓練メールテストと、その結果に応じた教育プログラムの実施を通じて、社員の方々の情報セキュリティへの意識を高めながら緊急時の対応策を身につけていく情報セキュリティ教育を行っています。

導入決定から実施までが短期間であったにも関わらずスムーズに導入ができた点や、強固な協力体制を築いて効果的な対策が実施できている点などにご満足いただいているとのお声を頂戴しております。

情報セキュリティ教育を効果的に実施するためには、情報漏えいの実態などについて正しい認識を持った上で教育内容を選定することが大切です。

情報漏えいの種類や増加の背景、原因や損害といった内容に関する詳しい解説文をご覧いただけるホワイトペーパーをご用意しています。

貴社の現在の情報漏えい対策の実施状況が分かるチェックリストと、チェック結果に合わせたセキュリティ教育内容のご案内もございますので、どのようなセキュリティ教育を実施すれば良いのか決めかねている企業様にお役立ていただける内容となっております。

資料は無料でダウンロードいただけますので、ぜひご活用ください。

ダウンロードはこちら≫

今回は、企業に求められている情報セキュリティ教育についてご紹介しました。

近年、メールを開かせてURLのクリックやファイルの開封を促し情報を窃取する被害が増えてきています。

こうした人の脆弱性を狙った攻撃から、企業の情報資産を守るには、セキュリティソフトの導入だけではなく従業員のセキュリティ教育が大切です。