情報セキュリティ教育とは｜具体的な手順や準備についての解説

近年様々な情報セキュリティ事故が発生しています。そしてその事故は、従業員の意識やリテラシーにより大きな被害に繋がることも、未然に防ぐことが出来ることもあります。
この記事では、今後ますます重要性の高まる情報セキュリティ教育について解説します。

情報セキュリティ教育とは

情報セキュリティ教育は、情報セキュリティ事故を防ぐことを目的に、実施する教育です。
情報セキュリティ教育の対象は全従業員であり、セキュリティリテラシーやセキュリティ意識の向上のために行う教育を指します。また自社のセキュリティポリシーの周知も目的とされています。

情報セキュリティ教育の必要性

近年、様々な情報セキュリティ事故が発生しています。そうした事故の発生リスクを最小限にするための情報セキュリティ対策が必要です。
情報セキュリティ対策は、「オペレーション」「システム」「人間」の3つの要素と大きな関係性があります。その中で一番重要な要素が「人間」になります。自明ではありますが、「オペレーション」と「システム」を作り、活用するのは人間だからです。
どれだけ優れた「オペレーション」や「システム」を定め構築しても、それを運用する人間にリテラシーがなければ効力は発揮されることはありません。そのため、従業員のリテラシーを向上させる情報セキュリティ教育が重要になります。

情報セキュリティ事故の被害例

ここで一度、代表的な情報セキュリティ事故を確認します。

ランサムウェアによる被害

ランサムウェアとは、コンピューターウイルスなど悪意のある動作を行うソフトウェアであるマルウェアの一種です。ランサムウェアにより会社内のデータやシステムを暗号化、使用出来ない状態を引き起こし、金銭の要求を行います。ランサムウェアによって一時的に業務が停止するなどの事例が発生しています。

標的型攻撃による機密情報の搾取

標的型攻撃は特定の企業や組織をターゲットに行われる攻撃です。
実際の人物になりすましたメールや取引先を装った内容のメールを送信し、不正サイトへの誘導することで情報の搾取やマルウェアの侵入をさせます。

情報セキュリティ教育の進め方

上記のようなリスクを下げるために社員一人ひとりの情報セキュリティ教育が必要になります。情報セキュリティ教育はリテラシー向上や情報セキュリティ事故の多様化などの観点から繰り返し行うことが成果に繋がります。そのため、改善を意識した教育の進め方が必要になります。

効果のある情報セキュリティ教育を実施するための大まかな進め方を解説します。

1.研修計画の作成

まず始めに自社の情報セキュリティ教育の計画を作成します。
想定させるセキュリティ事故や自社のセキュリティトラブルを把握し、研修の内容や使用する教材、実施日程など計画を作成します。

2.研修の実施

作成した計画に基づき、研修を実施します。
このとき実施時期の周知を徹底し、教育の対象とする従業員の欠席を最小限にすることが重要です。

3.研修の効果測定

研修後に理解度を確認するテストを実施し、研修の効果を測定します。

4.研修の改善

研修の振り返りを行います。参加状況や理解度テスト、参加した従業員からの感想などを基に次回の研修に向け改善を行います。

情報セキュリティ研修の準備

では具体的な研修の準備や計画作成で考えるポイントを解説します。

1.研修の形態の決定

まずは研修の実施形態を決定します。実施形態は大きく下記の３つがあります。

• 社内研修
• 外部セミナーや外部講師の活用
• e-ラーニング

社内で実施する場合、研修内容がより実務に近くなり、費用も外部のものを活用するよりも低くなります。しかし、通常業務のある社員が研修を担当するなど負担が大きくなってしまうという側面もあります。

外部セミナーや外部講師はより専門的な内容を学ぶことができ、研修の運営や準備などの負担が少ないという特徴があります。ただし、費用は社内研修やe-ラーニングに比べ高くなってしまいます。

e-ラーニングは3つの形態の中で、社内の負担や実施費用が最も低くなることが期待でき、多くの企業で実施されています。一方で受講の強制力や研修におけるコミュニケーションが取りづらいというデメリットもあります。

社内のリソースや研修で何を優先させるかを考え、実施形態を決定しましょう。

2.研修実施時期の決定

研修の実施時期と頻度をあらかじめ決定し、それに基づいた計画や改善を行います。
新卒社員が入社する時期や、組織編成がある時期にあることが一般的です。また、開催頻度は毎月1回・半期に1回・1年に一回など様々です。研修の目的や対象によって頻度や時期を決定します。

3.研修対象者の決定

情報セキュリティ教育において研修の対象になるのは「機密情報にアクセスしうる全ての人間」です。ただし、業務に合わせて研修の内容や対象を変えることもあります。
一般的な対象範囲は「社内全員」「東京都オフィス」「営業部」などです。

また、情報セキュリティ教育の対象は自社の従業員のみだけでなく、業務委託をしている従業員や契約社員も対象にすることが重要です。

支援サイトや資格の活用のすすめ

社内の情報セキュリティ教育を効果的・効率的に実施するために支援サイトの活用や専門の資格を取得することもおすすめです。

情報セキュリティ対策支援サイト

経済産業省の管轄である情報処理推進機構(IPA)の公式サイトには、メインコンテンツとして情報セキュリティに関する情報が発信されています。

また総務省も「国民のための情報セキュリティサイト」を公開しています。

このような情報セキュリティに関する有益な情報を発信しているサイトを上手く活用することもおすすめです。

プライバシーマークの取得

プライバシーマーク制度は企業や団体などの個人情報保護の体制や運用が適切であるかを評価し、事業活動においてプライバシーマークの使用を認める制度です。そしてプライバシーマークの取得には、JIS Q 15001が定める個人情報保護マネジメントシステム（PMS）の構築が必要になります。またプライバシーマークの取得には組織内で従業員への研修といった対策も必要になります。
すなわち、プライバシーマークの取得をすることで情報セキュリティ事故を防ぐことが出来ます。

まとめ

本記事では情報セキュリティ教育について解説しました。
情報セキュリティ教育を始め、情報セキュリティ事故の発生を未然に防ぐ対策をすることが大切です。

株式会社UPFでは、1777社のプライバシーマーク取得をサポートしてきた業界No.1を誇る実績があります。
プライバシーマーク新規取得でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。