Article square balloon green
2017-10-20

セキュリティ教育とは | 組織が実施するべきポイント・必要性

セキュリティ教育は、組織のセキュリティポリシー遵守への意識向上を目的に行われます。企業活動において重要さの増す情報の取扱いをどのように守っていくべきか、組織が実現すべき情報セキュリティを解説していきます。
その他職種
Large

なぜ情報セキュリティ教育が必要か

経済のグローバル化が進み、ビジネスにおける情報の重要度が増していく一方で、情報漏えいに関する事故が後を絶ちません。

セキュリティに充分に気を配り、必要な投資をしているはずの企業で情報漏えいが起こってしまうのはなぜでしょうか。

それは、情報漏えいのほとんどが内部流出だということが原因であり、このため組織を構成する関係者に対する「情報セキュリティ教育」の必要性が説かれるようになっています。

また、その教育は全ての関係者に対して、定期的に行われなければなりません。

システムで防げない情報漏えいリスク

それでは、外部攻撃に強いはずのセキュリティシステムで防げない情報漏えいリスクにはどのようなものがあるのでしょう。

  • 端末の紛失・置き忘れ・盗難
  • 業務外サイトの閲覧/フリーソフトのインストールなどによるウィルス感染
  • メールを含む誤操作
  • 自宅へのデータ持ち出し
  • SNSなどでのうかつな情報公開
  • 内部犯罪

このうち、悪意のある内部犯罪などを除けば、いずれもセキュリティに関する意識の低さに起因したリスク要因であることが分かります。

つまりこれらに対する意識の改革と、対応方法を徹底することができれば、情報漏えいの可能性を大幅に減らすことができるのです。

一度、情報漏えいについて復習したい方は次の記事を参考にしてください。

情報漏えいの原因とは | 流出経路・事例や必要なセキュリティ対策を解説 | ボクシルマガジン
情報漏えいは、信用問題や賠償責任に繋がるなど、企業に大きな影響を与えますが、発生する原因はさまざまです。その原因と...

セキュリティポリシーを徹底させるためのポイント

情報セキュリティへの意識を高め、対応方法の徹底を行うためには、いくつかのポイントがあります。

  • セキュリティポリシーを策定して周知徹底する
  • ポリシーを守りやすい環境の整備
  • ポリシーが必要な理由を教育する

まず情報漏えいの原因を洗い出し、それを防ぐためのルール作りを行い、関係者にルールの存在を周知徹底させる必要があります。同時に、業務上でルールを守ることが弊害にならない環境の整備を行わなければなりません。

しかし、ルールや環境が整っていても、それが守られなければ意味がありません。
なぜルールがあるのか、ルールが守られないとどのような事態になるのか、教育を行う必要があるのです。

情報セキュリティ教育の実施

一口に情報セキュリティ教育といっても、組織内には多くの関係者が存在し、役職によって情報に関わるレベルもさまざまであることから、教育する内容や方法にも工夫が必要になるでしょう。

以下で、具体的に各項目を解説していきます。

教育方法

情報セキュリティ教育実施にあたり、その教育方法はどのような形式で行ったら効果的でしょうか。

  • 講師による研修会・勉強会
  • 動画配信によるe-Learning
  • テスト実施でポリシーの理解度を見る

これ以外にもさまざまな形式が考えられますが、関係者の多い大企業ではe-Learningによる教育が効率的かもしれません。

しかし、これはセキュリティへの意識改革という点では効果が薄く、同様にテスト実施もその場限りの効果に終わってしまう可能性が高くなります。

できるだけ人数を絞った形での研修会開催が最も効果的であり、関係者全員が参加できるよう複数開催し、スケジュール調整を強制することで、組織がセキュリティ教育に重点を置いているという本気度を示すことにもつながります。

動画配信での教育に役立つe-Learningシステムについては以下の記事をご覧ください。

eラーニングシステムとは | 徹底比較37選 | 機能・費用比較表 | ボクシルマガジン
eラーニングシステムの定義や導入メリットや機能・価格を一覧にまとめました!2017年度の大人気クラウドサービスを解...

教育の対象者

上述したように、組織内にはさまざまな立場や役職によって、情報に関わるレベルの異なる関係者が複数存在します。

教育の対象者としては、役職者から派遣社員、パートタイマーを含む、業務に関わる全ての関係者になりますが、全ての関係者に同じ内容の教育を行っても中途半端になってしまう可能性があります。

情報に関わるレベルに応じて対象者を分け、レベルに応じた内容で教育を行うことが効果的だといえるでしょう。

具体的には、指導・管理する立場の役職者には「セキュリティ意識を啓蒙する内容」を、一般社員には「具体的なポリシーを理解する内容」を行うなどです。

教育のタイミング

教育の形式・内容が決定したら、いつ実施したら効果的かを考慮する必要があります。

  • ポリシー運用時
  • ポリシー変更時
  • セキュリティ問題発生時
  • 新卒/中途社員入社時
  • 人事異動時

特に新卒/中途入社の関係者は、組織に関して白紙の状態であるため、より効果的な教育が可能です。
また、人事異動などで役職が変更になる場合は、情報に対する立場も変わることから、改めての教育が必要になるでしょう。

重要なことは、定期的な教育を行い、セキュリティへの意識向上を継続して行っていくことです。

教育の内容

対象者の項でも触れましたが、対象者によって教育内容をレベルに応じたものとするのが効果的です。
もちろん、セキュリティポリシーの周知徹底という基本は同様になりますが、具体的に解説すると、

新卒/中途/若手などが対象の場合

情報の取り扱い方、サイバー攻撃の種類、不信メールなどの見分け方といった基礎知識、具体的な対応方法。

中堅などが対象の場合

馴れによる意識低下を引き締める内容。知識やポリシーの再確認。

管理職/役職者が対象の場合

リスク回避目的のポリシー周知、指導・管理していくための正確なリスク要因把握。

などが考えられるでしょう。

教育の効果測定

情報セキュリティ教育を行った結果、どの程度の効果が見られたのか、効果測定を行っていく必要があります。

具体的には、教育実施直後もしくは一定の時期をおいた後、ポリシーの理解度やリスクの理解度がどの程度進んだのかを、テストを実施することによって判断することです。

また、常日頃からインターネットのアクセスログを記録し、不正サイトへのアクセスが教育実施前後でどのような変化があったか調べるのも効果的です。

これらの効果測定結果を分析し、次回以降の教育に活かす仕組みを作り、継続した情報セキュリティ教育実施を行っていくことが重要です。

ログ監視ツールおすすめ徹底比較  | ネットワークを安全に運用するために | ボクシルマガジン
ログ監視は、ネットワークのアクセスが多様化した現代では重要なシステムの一つです。近年ではログを簡単に収集できるよう...

情報セキュリティ教育を通じたポリシーのアップデート

情報セキュリティを取り巻く環境は、外部攻撃の進化を含め日々変化しており、ニーズに合致した対策とセキュリティポリシーの進化、定期的な変更が必要になります。

情報セキュリティ教育を通じて関係者の意識向上とリスク回避の方法を徹底させるとともに、セキュリティを遵守させる担当者も現場の声に耳を傾け、よりよい環境の構築とセキュリティポリシーの強化を図っていく必要があるでしょう。

情報セキュリティ向上は終わりがなく、常にアップデートしていくことが重要なのです。

以下の記事では、脆弱性を見つけるためのセキュリティ診断について紹介しています。
ぜひご覧ください。

セキュリティ診断(脆弱性検査)とは?おすすめのサービス7選 | ボクシルマガジン
セキュリティ診断は、万全なセキュリティ対策をするうえで欠かせないものです。セキュリティ診断の種類や診断方法の解説や...

情報セキュリティ教育のPDCAサイクル化を

企業活動における業務に進化が求められるように、情報セキュリティにも進化が求められており、その必要性と重要性はこれまで解説してきた通りです。

業務を進化させ、改善していくためにPlan、Do、Check、Actionサイクルを適用するのは基本的な手法となりますが、同様に、情報セキュリティ教育にPDCAサイクルを適用することによって、さらなる情報セキュリティ強化を図ることも可能でしょう。

業務改善同様、軌道に乗せるまでが大変なことではありますが、ますます重要度が増す一方の情報管理において、必要不可欠なことだといえます。

また、情報漏えいに関しては以下の記事もご覧ください。

情報漏洩対策のポイントを徹底解説!【2017年最新データ】 | ボクシルマガジン
近年、急速により重要視されている個人情報の保護。そんな個人情報が漏洩するのをどのように防げばいいのか、また、漏洩し...

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

Article like finger
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
月間100万PV
掲載社数1,000
商談発生10,000件以上
この記事とあわせて読まれている記事