セキュリティリテラシーとは？組織の情報を守るための重要ポイントを解説

サイバー攻撃の巧妙化・テレワークの普及などに伴い、情報セキュリティリスクが高まっています。そこで重要になるのが、セキュリティリテラシーの向上です。

今回は、セキュリティリテラシーの意味・向上させる方法やポイントなど、必須の基礎知識をご紹介します。

目次

1. セキュリティリテラシーとは
2. セキュリティリテラシーが重要視される3つの理由
3. 【アニメで解説】サイバー攻撃の被害にあったらどうなる？
4. セキュリティリテラシーを向上させる方法
5. セキュリティリテラシーを効果的に向上させるポイント3つ
6. まとめ

セキュリティリテラシーとは、デジタルツールやインターネットなどを安全に使うために必要な知識や技術を身に付け、実践できる能力のことです。

なお、リテラシーとは「知識などを正しく使いこなせる力」を意味します。

セキュリティリテラシーの向上が必要となるのは、情報システム部門などの一部の従業員だけではありません。従業員全員の情報セキュリティを高めることが必要です。従業員が一人でも対応を誤れば、組織全体に影響を及ぼす恐れがあるためです。

例えば、次のような対策は従業員個々人のリテラシーが高くないと実践できません。

• パソコンやモバイル端末などのIDや機器自体を適切に管理する
• 不審なメールをむやみに開封しないようにする

一人ひとりの心掛けが重要になるからこそ、セキュリティリテラシーの向上が欠かせないのです。

従業員のセキュリティリテラシーが低いと、次のとおり外的・内的リスクが高まります。

• サイバー攻撃の被害を受ける（外的リスク）
  • 不審なメールを開封してしまい、PCやネットワークがマルウェア（ウイルス）に感染する
• 従業員のミスで、機密情報・個人情報の漏洩が発生する（内的リスク）
  • 個人情報が含まれるデータを社外に持ち出し、紛失する

情報漏洩のリスクは、外部からの攻撃だけでなく、内的要因によっても高まることを覚えておきましょう。

セキュリティリテラシーを高めることで、情報やシステムはもちろんのこと、組織自体を守ることにつながります。情報漏洩やシステム停止が発生すると、取引先や顧客からの信頼を失ったり、業務の継続が難しくなったりするためです。セキュリティリテラシーを向上させ、情報やシステムを適切に管理している状況を対外的にアピールできれば、企業価値を高めることにつながるでしょう。

サイバー攻撃の被害を受けた場合、どんな被害が起きるかイメージができていますか？

下記の動画ではサイバー攻撃の被害にあるとどうなるのか、攻撃メールを見抜くポイントやセキュリティ教育の重要性をアニメでご紹介します。セキュリティにあまり詳しくない方でもご理解いただけるような内容です。ぜひご覧ください。

近年、セキュリティリテラシーが一層注目されているのには以下のような理由があります。

1. サイバー攻撃の巧妙化
2. テレワークの普及
3. 情報セキュリティの重要性の高まり

サイバー攻撃が巧妙化し、知識を身に付けなければ防ことが難しくなっているため、セキュリティリテラシーは重要視されています。例えば、フィッシングサイトや標的型攻撃メールなど、正確に危険性を把握していないと対応が難しい攻撃が増えているのが実情です。実例研究や演習などを交えた研修・教育で、セキュリティリテラシーを向上させる必要があるでしょう。

テレワークの普及も、セキュリティリテラシーが重要視される大きな理由と言えるでしょう。インターネットやデジタルツールを使う機会が増えたことで、サイバー攻撃を受けるリスクや操作ミスによりデータが流出するリスクが高くなっているからです。テレワーク導入とセキュリティリテラシー向上は、セットで実施しましょう。

近年では、ひとたび情報漏洩が起これば損害賠償請求や社会的信用の失墜にまで発展することからも、セキュリティリテラシーが重要視されています。

2022年4月に施行された改正個人情報保護法により、情報漏洩が発生した際には「報告が完全義務化」され、取り扱いにより厳密さが求められるようになりました。

情報セキュリティの確保と企業の社会的信用は切り離せない関係であるため、セキュリティリテラシーを向上させる必要があるのです。

セキュリティリテラシーを向上させるには、次の3つの方法が有効です。

• セキュリティ教育・研修を実施する
• ルールを設定し定期的に見直す
• 環境整備を行う

セキュリティリテラシーを高めるには、まず従業員に対する教育・研修を実施しましょう。基礎となる知識がなくては、セキュリティ対策の実践をしようがないからです。

研修やメルマガなどで実際の事例を共有する、標的型メール訓練を行うなど、実践に役立つ形式での教育・研修を織り交ぜると対応力が上がり効果的です。

ＪＢサービス株式会社が2022年に開催したWebセミナーで実施したアンケート結果によると、従業員向けのセキュリティ教育の中でも特に実施数が多かったのは「標的型メール訓練サービス」、次いで「eラーニング教材」「理解度チェック・テスト」となっています。回答人数を大きく上回る回答数が集まったことから、複数のセキュリティ教育や研修を組み合わせて実施されていることが窺えます。

なお、セキュリティ教育や研修を「実施していない」と回答したのは全体のわずか15％程度でした。

IDの管理ルールや個人情報の取り扱いルールを決め、情報セキュリティ対策をスムーズに実践できるようにしましょう。ルールとしてまとめ共有することで何をすれば良いのかが明確になり、全社的にセキュリティリテラシー向上を推進しやすくなるためです。なお、定めたルールは定期的に見直し、新たなリスクにも対応できるようにしておく必要があります。

従業員教育とあわせて環境整備も行うことで、より確実にセキュリティリテラシーを向上させることが可能です。例えば、暗号化や二段階認証などを導入し、社内だけでなくテレワークでも安全な環境を整えることが挙げられます。その他セキュリティ対策ソフトなど、業務環境に合わせて整備を行いましょう。

セキュリティリテラシーを効果的に向上させるために、押さえるべきポイントが3つあります。

• 研修は定期的に実施する
• 負担にならず知識をアップデートできる環境を整える
• 委託先やグループ企業もあわせて対策を行う

なぜ、上記のポイントを押さえるべきなのか、順番に見ていきましょう。

セキュリティリテラシーを向上させるための研修は、定期的に繰り返し実施することが重要です。実施が一度きりでは知識や行動が定着しない上に、情報も古くなってしまうためです。

研修を確実にリテラシーの向上につなげるには、オンラインの研修なども取り入れて負担を軽減しながら、年に複数回実施すると良いでしょう。

先ほどもご紹介したWebセミナーのアンケートでは、約半数の方が1年に2回以上社内でセキュリティ教育を実施していると回答しています。

研修を複数回実施することとあわせて留意すべきなのが、従業員の負担にならない方法で知識をアップデートできる環境を整えることです。せっかく定期的に研修を実施しても、受講が負担になっては形骸化してしまうでしょう。

負担を軽減する上で特に有効なのは、外部委託です。外部に委託すると、以下のような利点があります。

• 最適な年間の教育プラン策定で、研修担当者の負担を軽減
• 標的型メール訓練などで、実践力が身に付く
• スコアリングによる定着度確認などで、受講者側も飽きずに研修を続けられる

セキュリティリテラシーの強化を図る際は、子会社などの関係各社もあわせて対策を徹底するようにしましょう。組織全体のリテラシーを向上させないと、情報セキュリティのリスクを下げることはできないためです。

2022年に起きた国内最大手の自動車メーカーAの全工場が停止した事件も、仕入先企業Bの子会社Cが不正アクセスされたことがきっかけでした。

子会社Cが使用していたリモート接続機器の脆弱性を突きネットワークへ侵入され、そこから仕入先Bへ侵入。そしてPCやサーバーが攻撃を受け、一部のデータが暗号化されたために自動車部品の納入ができなくなり、全工場停止という事態につながったのです。

自社のセキュリティ対策が万全であっても、子会社などのグループ企業や業務委託先などのセキュリティ対策に穴があれば、このような事態はどの企業でも起きかねません。セキュリティリテラシーの向上を図る際も、関係各社を巻き込んで対策を実施することをおすすめします。

従業員のセキュリティリテラシーを向上させることで、組織全体の情報セキュリティを高めることができます。ポイントを押さえて研修などを実施することで、形骸化させず効果的に、セキュリティリテラシーを向上させることが可能です。

ＪＢサービス株式会社では従業員一人ひとりのセキュリティリテラシーの向上を目的としたセキュリティ教育サービスSecuLiteracy（セキュリテラシー）を提供しています。SecuLiteracyは、セキュリティーのリテラシーを実践的な教育コンテンツを用いて身に着けていただくことを願いつけた造語です。

効果のあるセキュリティ教育を検討されている企業担当者様はぜひご覧ください。