eラーニングシステムには多くの種類があり「どれを選べばいいか」迷いますよね。後から知ったサービスの方が適していることもよくあります。導入の失敗を避けるためにも、まずは各サービスの資料をBOXILでまとめて用意しましょう。
⇒
【料金・機能比較表つき】eラーニングシステムの資料をダウンロードする(無料)
なぜ情報セキュリティ教育が必要か
経済のグローバル化が進み、ビジネスにおける情報の重要度が増していく一方で、情報漏えいに関する事故が後を絶ちません。
セキュリティに充分に気を配り、必要な投資をしているはずの企業で情報漏えいが起こってしまうのはなぜでしょうか。
それは、情報漏えいのほとんどが内部流出だということが原因であり、このため組織を構成する関係者に対する「情報セキュリティ教育」の必要性が説かれています。
また、その教育はすべての関係者に対して、定期的に行われなければなりません。
システムで防げない情報漏えいリスク
それでは、外部攻撃に強いはずのセキュリティシステムで防げない情報漏えいリスクにはどのようなものがあるのでしょう。
- 端末の紛失・置き忘れ・盗難
- 業務外サイトの閲覧/フリーソフトのインストールなどによるウィルス感染
- メールを含む誤操作
- 自宅へのデータ持ち出し
- SNSなどでのうかつな情報公開
- 内部犯罪
このうち、悪意のある内部犯罪などを除けば、いずれもセキュリティに関する意識の低さに起因したリスク要因であることがわかります。
つまりこれらに対する意識の改革と、対応方法を徹底できれば、情報漏えいの可能性を大幅に減らせます。
一度、情報漏えいについて復習したい方は次の記事を参考にしてください。
情報セキュリティ教育の内容例
情報セキュリティ教育では、実際に起こり得るリスクごとに具体的な対策を学ぶことが大切です。よくある情報漏えいや不正行為の例を取り上げ、それぞれの教育ポイントを紹介します。
端末の紛失・置き忘れ・盗難
社用端末の紛失や盗難は、情報漏えいにつながる重大なリスクです。特に外出時や出張時などは注意が必要であり、セキュリティ教育によって日常的な意識づけを行わなければなりません。
教育では、端末にロックをかけることや、紛失時の速やかな報告体制について指導します。また、データを暗号化して保存する方法もあわせて教えると効果的です。
業務外サイトの閲覧/フリーソフトのインストールなどによるウィルス感染
業務と関係のないサイトへのアクセスや、信頼性の低いソフトのインストールは、マルウェア感染の原因になります。こうした行為は無自覚に行われることが多く、教育によって危険性を理解させなければなりません。
教育内容としては、業務用端末では私的利用を避けることや、安全なソフトウェアの選定基準を学ばせます。加えて、ウィルス対策ソフトの役割についても伝えるとよいでしょう。
メールを含む誤操作
送信ミスや添付ファイルの誤送信は、社外への情報流出につながります。操作自体は単純でも、被害が大きくなりやすいため、教育を通じて注意力を高めなければなりません。
具体的には、送信前に宛先や内容を再確認する習慣を身につけさせます。また、誤送信時の対応フローや、BCCの正しい使い方についても指導します。
自宅へのデータ持ち出し
データをUSBや私物の端末にコピーして持ち出す行為は、社外での情報漏えいリスクを高めます。悪意がなくても、家庭内のネットワーク環境がぜい弱で、情報が外部へ漏れるかもしれません。
教育では、社外での業務が必要な場合は許可された手段を使うよう指導します。加えて、個人端末での作業を禁止する理由や、リモート接続のセキュリティ設定についても教えます。
SNSやWebサイトでのうかつな情報公開
従業員がSNSやWebサイトに業務内容や職場環境を投稿することで、意図せず社内情報が漏れることもあります。公開範囲が限定されていても、情報は簡単に拡散されてしまうでしょう。
教育では、仕事に関連する投稿は避けるべきであることを明示します。あわせて、情報公開の影響や炎上リスクについて実例を交えて解説すると効果的です。
内部犯罪
従業員による情報の持ち出しや不正アクセスは、組織にとって深刻な問題です。信頼関係が前提となる社内においても、リスクは常に存在しています。
教育では、内部不正の事例や発覚した際の処罰について周知します。また、アクセス権限の考え方や、不正の兆候に気づいた際の報告ルールも共有しておきましょう。
セキュリティポリシーを徹底させるためのポイント
セキュリティポリシーを組織全体で実践するには、形骸化させず、実効性をもって運用することが大切です。具体的には次のようなポイントを意識して進めましょう。
- セキュリティポリシーを策定して周知徹底する
- ポリシーを守りやすい環境の整備
- ポリシーが必要な理由を教育する
セキュリティポリシーを策定して周知徹底する
まずは組織の実情に合わせたセキュリティポリシーを策定し、文書として明文化しましょう。そのうえで、全社員に内容を共有し、誰もが理解できるよう丁寧に説明することが求められます。
明文化されたポリシーを定期的に共有することで、従業員一人ひとりの意識向上につながるでしょう。また、具体的な行動指針が示されることで、セキュリティ対応に一貫性を持たせる効果も期待できます。
ポリシーを守りやすい環境の整備
従業員が無理なくポリシーを守れるよう、業務システムやIT環境を整えることが大切です。たとえば、自動ログアウト機能の導入や、USBメモリの使用制限といった仕組みづくりが効果的です。
環境を整備することで、従業員の負担が軽減され、セキュリティルールの定着がスムーズになります。業務の中で自然にセキュリティ対策が取れるようになることで、違反のリスクも減らせます。
ポリシーが必要な理由を教育する
ポリシーをただ守るよう求めるだけでなく、その必要性をしっかり伝えなければなりません。情報漏えいが起きた際の影響や、過去の具体的な事例を交えて教育することで、理解が深まります。
理由を理解することで、従業員は自発的にポリシーを守ろうと意識するようになるでしょう。結果として、形だけの運用ではなく、現場で実効性のあるセキュリティ対策につながります。
情報セキュリティ教育の取り組み方
一口に情報セキュリティ教育といっても、組織内には多くの関係者が存在し、役職によって情報に関わるレベルもさまざまであることから、教育する内容や方法にも工夫が必要になるでしょう。
次の各項目において、具体的に解説します。
教育方法
情報セキュリティ教育実施にあたり、その教育方法はどのような形式で行ったら効果的でしょうか。
- 講師による研修会・勉強会
- 動画配信によるe-Learning
- テスト実施でポリシーの理解度を見る
これ以外にもさまざまな形式が考えられますが、関係者の多い大企業ではe-Learningによる教育が効率的かもしれません。
しかし、これはセキュリティへの意識改革という点では効果が薄く、同様にテスト実施もその場限りの効果に終わってしまう可能性が高くなります。
できるだけ人数を絞った形での研修会開催が最も効果的であり、関係者全員が参加できるよう複数開催し、スケジュール調整を強制することで、組織がセキュリティ教育に重点を置いているという本気度を示すことにもつながります。
動画配信での教育に役立つe-Learningシステムについては次の記事をご覧ください。
教育の対象者
上述したように、組織内にはさまざまな立場や役職によって、情報に関わるレベルの異なる関係者が複数存在します。
教育の対象者としては、役職者から派遣社員、パートタイマーを含む、業務に関わるすべての関係者になりますが、関係者全員に同じ内容の教育を行っても中途半端になる可能性があります。
情報に関わるレベルに応じて対象者を分け、レベルに応じた内容で教育を行うことが効果的だといえるでしょう。
具体的には、指導・管理する立場の役職者には「セキュリティ意識を啓蒙する内容」を、一般社員には「具体的なポリシーを理解する内容」を行うなどです。
教育のタイミング
教育の形式・内容が決定したら、いつ実施したら効果的かを考慮する必要があります。
- ポリシー運用時
- ポリシー変更時
- セキュリティ問題発生時
- 新卒/中途社員入社時
- 人事異動時
特に新卒/中途入社の関係者は、組織に関して白紙の状態であるため、より効果的な教育が可能です。
また、人事異動などで役職が変更になる場合は、情報に対する立場も変わることから、あらためての教育が必要になるでしょう。
重要なことは、定期的な教育を行い、セキュリティへの意識向上を継続して行っていくことです。
教育の内容
対象者の項でも触れたように、対象者によって教育内容をレベルに応じたものとするのが効果的です。
もちろん、セキュリティポリシーの周知徹底という基本は同様になりますが、具体的に解説すると、
新卒/中途/若手などが対象の場合
情報の取り扱い方、サイバー攻撃の種類、不信メールなどの見分け方といった基礎知識、具体的な対応方法。
中堅などが対象の場合
馴れによる意識低下を引き締める内容。知識やポリシーの再確認。
管理職/役職者が対象の場合
リスク回避目的のポリシー周知、指導・管理していくための正確なリスク要因把握。
などが考えられるでしょう。
教育の効果測定
情報セキュリティ教育を行った結果、どの程度の効果が見られたのか、効果測定を行っていく必要があります。
具体的には、教育実施直後もしくは一定の時期をおいた後、ポリシーの理解度やリスクの理解度がどの程度進んだのかを、テストを実施することによって判断することです。
また、日ごろからインターネットのアクセスログを記録し、不正サイトへのアクセスが教育実施前後でどのような変化があったか調べることも効果的です。
これらの効果測定結果を分析し、次回以降の教育に活かす仕組みを作り、継続した情報セキュリティ教育実施を行っていくことが重要です。
情報セキュリティ教育を通じたポリシーのアップデート
情報セキュリティを取り巻く環境は、外部攻撃の進化を含め日々変化しており、ニーズに合致した対策とセキュリティポリシーの進化、定期的な変更が必要になります。
情報セキュリティ教育を通じて関係者の意識向上とリスク回避の方法を徹底させるとともに、セキュリティを遵守させる担当者も現場の声に耳を傾け、よりよい環境の構築とセキュリティポリシーの強化を図っていく必要があるでしょう。
情報セキュリティ向上は終わりがなく、常にアップデートが重要です。
次の記事では、ぜい弱性を見つけるためのセキュリティ診断について紹介しています。
ぜひご覧ください。
情報セキュリティ教育のPDCAサイクル化を
企業活動における業務に進化が求められるように、情報セキュリティにも進化が求められており、その必要性と重要性はこれまで解説してきたとおりです。
業務を進化させ、改善していくためにPlan、Do、Check、Actionサイクルを適用するのは基本的な手法となりますが、同様に、情報セキュリティ教育にPDCAサイクルを適用することによって、さらなる情報セキュリティ強化を図ることも可能でしょう。
業務改善同様、軌道に乗せるまでが大変なことではありますが、ますます重要度が増す一方の情報管理において、必要不可欠なことだといえます。
また、情報漏えいに関しては次の記事もご覧ください。
\ 稟議や社内提案にも使える!/
BOXILとは
BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「 BOXIL SaaS 」、ビジネスメディア「 BOXIL Magazine 」、YouTubeチャンネル「 BOXIL CHANNEL 」を通じて、ビジネスに役立つ情報を発信しています。
BOXIL会員(無料)になると次の特典が受け取れます。
- BOXIL Magazineの会員限定記事が読み放題!
- 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
- 約800種類の ビジネステンプレート が自由に使える!
BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。
BOXIL SaaSへ掲載しませんか?
- リード獲得に強い法人向けSaaS比較・検索サイトNo.1※
- リードの従量課金で、安定的に新規顧客との接点を提供
-
累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心
※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査
