NPO日本ネットワークセキュリティ協会が発表した「2018年情報セキュリティインシデントに関する調査報告書」によると、情報漏えいの多くは人的な要因が引き金となっています。
一度情報漏えいが発生すると、顧客から損害賠償を請求されたり、会社の利益が低下したりする恐れがあります。
情報漏えいを防ぐためにはセキュリティ対策の導入だけでなく、社員のモラルやリテラシーをいかに育てていくかが重要です。
新入社員や中途社員が入社する時は、組織における情報セキュリティポリシーを理解してもらう絶好のチャンスです。
本コラムでは、従業員向けの情報セキュリティ教育とは何か、どのような実施方法が良いのかをご紹介します。
情報セキュリティ教育とは

情報セキュリティ教育とは、情報セキュリティポリシーや情報セキュリティの脅威と対策を理解し、役職員一人ひとりの情報セキュリティ意識の向上、意識改革につながるような教育のことを指します。
組織における情報セキュリティ教育は
- 情報セキュリティポリシーを周知徹底する
- 情報セキュリティの脅威と対策を知る
情報セキュリティポリシーは、業務に携わるすべての人に周知徹底する必要があります。
例えば、派遣社員、アルバイト、管理職、役員、社長などすべての方が対象です。
組織のメンバー一人ひとりが機密情報を取り扱っていることを自覚し、ルールに従った行動をするためにも、適切な情報セキュリティ教育の実施が重要です。
新入社員向けセキュリティ教育のポイントとは?

新入社員はPCやスマートフォンなどツールの操作には慣れているものの、情報セキュリティの重要性を認識していないケースが多くあります。
そのため、組織における情報セキュリティのルールを正しく理解していないまま業務を遂行するとなると、思わぬセキュリティ事故につながる恐れがあります。
まずは情報セキュリティの重要性を認識させ、社内のルールの理解・徹底を目指しましょう。
ポイント
- 情報セキュリティの重要性、情報セキュリティ事故の事例紹介
- メールのセキュリティリスク
- SNSの取り扱い(TwitterなどのSNSに社内の機密情報を発信しない、といったルール)
- 社内のセキュリティルール
- もしもの時の緊急連絡先、連絡の取り方
中途社員向けセキュリティ教育のポイントとは?

中途社員の中でも前職でセキュリティ教育を受講した社員もいるかもしれませんが、教育内容にばらつきがある可能性もあります。
自社のセキュリティルールをいち早く理解してもらうためにも、入社研修にセキュリティ教育を含めることが必要です。
重複にはなるかもしれませんがセキュリティ知識の標準化を目指すためにも、新入社員向けセキュリティ教育と同等内容の実施をおすすめします。
情報セキュリティ教育の実施方法
どのような手法でセキュリティ教育を実施していくのか、具体的な方法をご紹介します。
1.座学研修

座学研修は、セキュリティ教育で最も一般的な手法です。
情報漏えいを未然に防ぐための対策をルールに定めたとしても、社内に周知徹底させなければ意味がありません。また、最新のサイバー攻撃やセキュリティ事故の事例を紹介するなど、社内にセキュリティへの意識を持たせることも必要です。
メリット
- 情報セキュリティの正しい考え方を身につけられる
- 複数の拠点やテレワーク実施者に対してもweb会議システムなどを活用することで、同じ時間帯にまとめて実施できる
2.動画

情報セキュリティ上の様々な脅威と対策をドラマなどを通じて学べる動画を活用することも効果的です。
動画は、独立行政法人情報処理推進機構セキュリティセンター(IPA)などが無料で公開しています。他の教育方法と合わせて活用することで、更なるセキュリティ意識の向上が期待できます。
メリット
- 動画を社内に共有することによって、いつでも好きなタイミングで学習できる
- ドラマ仕立てのストーリーを視聴することにより、より自分事として捉えられる
3.e-learning

e-leaningとは、インターネット上の動画コンテンツを見ながら、情報セキュリティ対策の必要性や基本知識などを学習できるサービスです。
メリット
- 時間・場所を問わずに実施できる
- 受講状況をチェックできる
- テストを実施して、どれだけ理解できているかが把握できる
4.確認テスト・クイズ

座学研修に参加した後や動画の視聴後には、受講者の理解度を確認するためにもクイズや確認テストを実施することも効果的です。
テストの点数によって、受講者一人ひとりの理解度を測定ことができます。
メリット
- 理解できていなかった点に気づくきっかけになることから、知識の定着が期待できる
- 部門や個人などのスキルレベルが可視化できる
5.標的型攻撃メールの訓練

不審なメールを模した訓練メールを作成し従業員に配信することで、不審なメールを見破り正しい対処ができるかどうかを確認する実践的な教育もあります。
これによりフォローすべき教育対象者を絞ることができますので、組織のセキュリティ意識レベルの底上げにもつながります。
メリット
- サイバー攻撃の被害にあった際を想定とした、実践的な知識が身につく
- 正しく対処できている部門・組織を可視化し、教育フォロー者を明確にできる
【アニメで解説】サイバー攻撃の被害と攻撃メールを見抜くポイントとは?
標的型メール訓練は、避難訓練のように日ごろから攻撃メールの被害にあった場合の正しい対処を身に着けるうえで重要なセキュリティ教育の一つです。
下記の動画ではサイバー攻撃の被害にあるとどうなるのか、不審メールを見抜くポイントなどを必要性をアニメでご紹介します。セキュリティにあまり詳しくない方でもご理解いただけるような内容です。ぜひご覧ください。
効果的なセキュリティサービスの紹介
情報セキュリティ教育を社内で一から準備するとなると、非常に時間や労力がかかります。
せっかく時間や労力をかけてセキュリティ教育を実施したとしても、被害リスクがどれほど低減しているかわからないとお悩みの方もいらっしゃるのではないでしょうか。
実戦的なメール訓練から、教育対象者などのスコアリング、その後のフォロー教育(動画コンテンツ、ゲームなど)をオールインワンにした標的型メール訓練・教育サービスSecuLiteracy(セキュリテラシー)をお勧めします。
まとめ
今回は、新入社員・中途採用者へ実施したい情報セキュリティ教育についてご紹介しました。
これからは働く環境もICT環境も大きく変化することから、それらに応じたセキュリティ教育がますます重要になってきます。
この機会に、改めてセキュリティ教育の見直してみてはいかがでしょうか。
情報セキュリティ教育の導入でお悩みであれば、JBサービスまでお気軽にご相談ください。
参考