セキュリティ教育とは?組織が実施するべきポイント・必要性
目次を閉じる
なぜ情報セキュリティ教育が必要か
経済のグローバル化が進み、ビジネスにおける情報の重要度が増していく一方で、情報漏えいに関する事故が後を絶ちません。
セキュリティに充分に気を配り、必要な投資をしているはずの企業で情報漏えいが起こってしまうのはなぜでしょうか。
それは、情報漏えいのほとんどが内部流出だということが原因であり、このため組織を構成する関係者に対する「情報セキュリティ教育」の必要性が説かれるようになっています。
また、その教育は全ての関係者に対して、定期的に行われなければなりません。
システムで防げない情報漏えいリスク
それでは、外部攻撃に強いはずのセキュリティシステムで防げない情報漏えいリスクにはどのようなものがあるのでしょう。
- 端末の紛失・置き忘れ・盗難
- 業務外サイトの閲覧/フリーソフトのインストールなどによるウィルス感染
- メールを含む誤操作
- 自宅へのデータ持ち出し
- SNSなどでのうかつな情報公開
- 内部犯罪
このうち、悪意のある内部犯罪などを除けば、いずれもセキュリティに関する意識の低さに起因したリスク要因であることが分かります。
つまりこれらに対する意識の改革と、対応方法を徹底することができれば、情報漏えいの可能性を大幅に減らすことができるのです。
一度、情報漏えいについて復習したい方は次の記事を参考にしてください。
セキュリティポリシーを徹底させるためのポイント
情報セキュリティへの意識を高め、対応方法の徹底を行うためには、いくつかのポイントがあります。
- セキュリティポリシーを策定して周知徹底する
- ポリシーを守りやすい環境の整備
- ポリシーが必要な理由を教育する
まず情報漏えいの原因を洗い出し、それを防ぐためのルール作りを行い、関係者にルールの存在を周知徹底させる必要があります。同時に、業務上でルールを守ることが弊害にならない環境の整備を行わなければなりません。
しかし、ルールや環境が整っていても、それが守られなければ意味がありません。
なぜルールがあるのか、ルールが守られないとどのような事態になるのか、教育を行う必要があるのです。
情報セキュリティ教育の実施
一口に情報セキュリティ教育といっても、組織内には多くの関係者が存在し、役職によって情報に関わるレベルもさまざまであることから、教育する内容や方法にも工夫が必要になるでしょう。
以下で、具体的に各項目を解説していきます。
教育方法
情報セキュリティ教育実施にあたり、その教育方法はどのような形式で行ったら効果的でしょうか。
- 講師による研修会・勉強会
- 動画配信によるe-Learning
- テスト実施でポリシーの理解度を見る
これ以外にもさまざまな形式が考えられますが、関係者の多い大企業ではe-Learningによる教育が効率的かもしれません。
しかし、これはセキュリティへの意識改革という点では効果が薄く、同様にテスト実施もその場限りの効果に終わってしまう可能性が高くなります。
できるだけ人数を絞った形での研修会開催が最も効果的であり、関係者全員が参加できるよう複数開催し、スケジュール調整を強制することで、組織がセキュリティ教育に重点を置いているという本気度を示すことにもつながります。
動画配信での教育に役立つe-Learningシステムについては以下の記事をご覧ください。
教育の対象者
上述したように、組織内にはさまざまな立場や役職によって、情報に関わるレベルの異なる関係者が複数存在します。
教育の対象者としては、役職者から派遣社員、パートタイマーを含む、業務に関わる全ての関係者になりますが、全ての関係者に同じ内容の教育を行っても中途半端になってしまう可能性があります。
情報に関わるレベルに応じて対象者を分け、レベルに応じた内容で教育を行うことが効果的だといえるでしょう。
具体的には、指導・管理する立場の役職者には「セキュリティ意識を啓蒙する内容」を、一般社員には「具体的なポリシーを理解する内容」を行うなどです。
教育のタイミング
教育の形式・内容が決定したら、いつ実施したら効果的かを考慮する必要があります。
- ポリシー運用時
- ポリシー変更時
- セキュリティ問題発生時
- 新卒/中途社員入社時
- 人事異動時
特に新卒/中途入社の関係者は、組織に関して白紙の状態であるため、より効果的な教育が可能です。
また、人事異動などで役職が変更になる場合は、情報に対する立場も変わることから、改めての教育が必要になるでしょう。
重要なことは、定期的な教育を行い、セキュリティへの意識向上を継続して行っていくことです。
教育の内容
対象者の項でも触れましたが、対象者によって教育内容をレベルに応じたものとするのが効果的です。
もちろん、セキュリティポリシーの周知徹底という基本は同様になりますが、具体的に解説すると、
新卒/中途/若手などが対象の場合
情報の取り扱い方、サイバー攻撃の種類、不信メールなどの見分け方といった基礎知識、具体的な対応方法。
中堅などが対象の場合
馴れによる意識低下を引き締める内容。知識やポリシーの再確認。
管理職/役職者が対象の場合
リスク回避目的のポリシー周知、指導・管理していくための正確なリスク要因把握。
などが考えられるでしょう。
教育の効果測定
情報セキュリティ教育を行った結果、どの程度の効果が見られたのか、効果測定を行っていく必要があります。
具体的には、教育実施直後もしくは一定の時期をおいた後、ポリシーの理解度やリスクの理解度がどの程度進んだのかを、テストを実施することによって判断することです。
また、常日頃からインターネットのアクセスログを記録し、不正サイトへのアクセスが教育実施前後でどのような変化があったか調べるのも効果的です。
これらの効果測定結果を分析し、次回以降の教育に活かす仕組みを作り、継続した情報セキュリティ教育実施を行っていくことが重要です。
情報セキュリティ教育を通じたポリシーのアップデート
情報セキュリティを取り巻く環境は、外部攻撃の進化を含め日々変化しており、ニーズに合致した対策とセキュリティポリシーの進化、定期的な変更が必要になります。
情報セキュリティ教育を通じて関係者の意識向上とリスク回避の方法を徹底させるとともに、セキュリティを遵守させる担当者も現場の声に耳を傾け、よりよい環境の構築とセキュリティポリシーの強化を図っていく必要があるでしょう。
情報セキュリティ向上は終わりがなく、常にアップデートしていくことが重要なのです。
以下の記事では、脆弱性を見つけるためのセキュリティ診断について紹介しています。
ぜひご覧ください。
情報セキュリティ教育のPDCAサイクル化を
企業活動における業務に進化が求められるように、情報セキュリティにも進化が求められており、その必要性と重要性はこれまで解説してきた通りです。
業務を進化させ、改善していくためにPlan、Do、Check、Actionサイクルを適用するのは基本的な手法となりますが、同様に、情報セキュリティ教育にPDCAサイクルを適用することによって、さらなる情報セキュリティ強化を図ることも可能でしょう。
業務改善同様、軌道に乗せるまでが大変なことではありますが、ますます重要度が増す一方の情報管理において、必要不可欠なことだといえます。
また、情報漏えいに関しては以下の記事もご覧ください。
BOXILとは
BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。
BOXIL会員(無料)になると次の特典が受け取れます。
- BOXIL Magazineの会員限定記事が読み放題!
- 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
- 約800種類のビジネステンプレートが自由に使える!
BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。
BOXIL SaaSへ掲載しませんか?
- リード獲得に強い法人向けSaaS比較・検索サイトNo.1※
- リードの従量課金で、安定的に新規顧客との接点を提供
- 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心
※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査
