情報漏えいを始めとするトラブルを防ぎ、安全に業務を進めるために欠かせないセキュリティ対策。セキュリティを部分部分で考えた場合に、システムとして有効なものはたくさんあり、みなさんも様々なソリューションを導入されていると思います。ただ、セキュリティリスクをシステムだけで防ぐことに限界があるのも事実です。システムを過剰に強固にした結果、通常の業務に支障をきたしてしまうことも想定されます。

社員へのセキュリティに対する理解やモラル、情報倫理の欠如がボトルネックになっている場合、システムでの対策にコストをかけるよりも、「セキュリティ教育」に投資したほうが、効果的である場合も多いです。

そこで今回は、社内でのセキュリティ教育に求められていることや、効果的な方法などについて考えてみます。

教育が不十分な場合に起こりうる問題

「情報漏えいの主な原因はヒューマンエラー！不注意が引き起こすセキュリティの脅威をどう防ぐ？」でもご紹介したとおり、情報漏えいの多くは、情報を扱う社内の人間によるミスに起因することがほとんどです。そのため、従業員のモラルやセキュリティに対する意識を高めるための教育が不可欠になります。

それでは、教育が不十分な場合に起こるセキュリティリスクにはどのようなものが考えられるでしょうか？

• 重要情報が入っているPCやモバイル端末、USBなどを持ったまま飲み会に参加し、電車内に置き忘れたり置き引きにあったりする。
• フリーソフトのインストールや、メールで送られてきた不審なURLのクリック、添付ファイルを開くことなどによるウィルス感染。
• 宛先間違いなど、メールの誤送信。
• 推察されやすいパスワードの設定や、付箋に書いてデスク周りに貼るといった安易なパスワード管理。
• ブログやSNSに社内の重要情報を書き込んだり、重要情報の書かれた書類などが写り込んだ写真を投稿したりする。

これらの行為は、本人に悪気がなく行われるケースが大半です。正しい知識がないために、無自覚のうちにリスクの高い行動をとったり、誤った情報管理の方法が社内に定着してしまったりしているわけです。

どのようなセキュリティ教育が有効なのか？

では、効果的なセキュリティ教育のためには、具体的に何を実施するべきなのでしょうか？　必要な準備や、研修の内容、研修の実施にあたり注意すべきポイントを見ていきましょう。

どうすすめていくのがよいのか？

まずは、なぜセキュリティについての知識が大切なのか、何のための研修なのかを明確にして、それを周知することが必要です。セキュリティの話は、ややもすると「面倒臭い」「業務に支障が出る」といったイメージを持たれがちです。そのため、「なぜ」の部分をまず理解してもらうよう心がけましょう。

実施形式は企業の規模によっても違ってくると思いますが、新入社員や中堅社員、管理職などに対象者を分け、それぞれの対象者の知識や業務内容に合わせた内容で実施するのがよいでしょう。また、複数の日程を用意して、全員が必ず受けられるようにするのも大切です。そうすることが、「社員全員がセキュリティについて考えなくてはならない」というメッセージにもつながります。

教育するべき内容は？

新入社員や若手社員などセキュリティに関する知識をまだあまり持っていない対象者には、サイバー攻撃の種類などの基礎知識、個人情報や機密情報の扱い方、不審なメールの見分け方や取り扱い方法といった基本的な知識について教育することが必要です。そのうえで、業務のなかで遭遇する可能性のあるリスクへの対処方法や、注意するべきこと、やってはいけないことなどを一つずつ例示しながら教える必要があるでしょう。

また、過去に研修を受けていて、セキュリティについてある程度知識があると思われる社員も、「わかったつもり」になっていて、かえってヒューマンエラーのリスクが高いことがあります。知識やルールを再確認するだけでなく、新たな脅威など最新の情報を学ぶためにも、定期的に教育を実施した方がいいでしょう。ここでも具体的に実施するべきこと、してはいけないことを明確にして、それらが守られなかった場合にどのような問題が発生するのかをしつこく伝えることが重要です。

さらに、管理職や役職者に対する研修では、自社の情報セキュリティに関するルールを周知するとともに、なぜルールが必要なのか、ルール通りに業務が実施されなかった場合にどのようなリスクが起こりうるのかについて、正しい理解をうながす必要があります。

トラブル発生時の対応策をあらかじめ決めておく

トラブルを防止するための知識や対策方法だけでなく、万が一セキュリティ事故が起こった場合の対応策についても周知するといいでしょう。そのためにも、事故発生時の対応については、あらかじめ明確に規定して、自社の情報セキュリティポリシーに記載しておくことが大切です。

知識の習得だけでなく、実際の訓練も必要

研修では、単に知識を教えるだけでなく、実際の訓練も必要になります。知識を持っているだけでは、急なトラブル発生時にそれを生かすのは難しいものです。実際に起こりうるトラブルを想定して、実践的な訓練を行うのが理想でしょう。例えば、過去に実際に社内に届いた標的型攻撃メールを見て、どのような点が不審なのかを考えてみるといったトレーニングは、セキュリティの知識を実務に結びつけるうえで効果があります。

ユーザ部門との連携を深め、啓蒙活動をしましょう

近年は、情報システム部が社内すべてのシステムを管理するのではなく、各ユーザ部門が独自に業務にあったサービスを契約しているケースが増えてきています。

これまでは、情報システム部が利用するサービスやシステムのセキュリティを自社のポリシーと照らし合わせて、調整を図っていました。しかし、サービスの選定や導入がユーザ部門に分散することで、統一したセキュリティレベルを維持することは難しくなってきているのが実態です。

今後は、ユーザ部門のサービス導入のメリットを理解しつつ、社としてのルール等を啓蒙する活動が情報システム部としての重要な役割となりそうです。

研修内容のブラッシュアップも忘れずに！

セキュリティをとりまく状況は日々変化しています。知識が古くなると、トラブルに適切に対応できなくなる可能性もあるため、研修の内容は定期的にブラッシュアップして、常に最新の情報を伝えられるようにしておくことが大切です。研修終了後にアンケートを実施して、きちんと理解できたか、内容はわかりやすかったか、知りたい情報を得ることができたかなどをフィードバックしてもらうのもいいでしょう。

一人ひとりが「自分ごと」としてとらえて行動する環境を！

社員一人ひとりにセキュリティ意識を高めてもらうためには、セキュリティトラブルがちょっとしたミスで起こりうること、発生した場合に社内外に大きな影響をおよぼすトラブルに発展する可能性があることをきちんと理解してもらい、セキュリティに関する問題を全員が「自分ごと」としてとらえて業務に取り組めるような環境を築くことが大切です。

また、社内の風通しが悪く、質問や相談、トラブルの報告などがしづらい雰囲気があると、自己判断でリスクの大きい行動をとってしまったり、トラブルを起こした社員がそれを隠そうとしたりすることにつながり、さらに大きなトラブルを生む可能性もあります。そのため、「迷ったときは上司や情報システム部などにすぐに聞く」「万が一トラブルを起こしてしまった場合には迅速に報告する」など、情報共有しやすい雰囲気を作っておくことも大切です。

トラブル防止のためには日ごろの教育が欠かせない

セキュリティトラブルは、たった一人の誤った行動が企業の信用の失墜や莫大な損失、被害につながる可能性もある非常にリスクの大きなものです。だからこそ、社内のすべての人が正しい知識をもって業務に取り組むことが求められます。社員へのセキュリティ教育の重要性について、今一度考え直してみてはいかがでしょうか？

参考：

• ここからセキュリティ！　教育・学習｜IPA
• 新入社員等研修向け情報セキュリティマニュアルRev.3｜一般社団法人JPCERTコーディネーションセンター（PDF）
• 役職員への情報セキュリティ教育の実施｜IPA
• 事故やトラブル発生時の対応｜総務省
• 「どうすればいいの？これからの企業の情報セキュリティ教育」ラックの長谷川長一氏が解説｜エンタープライズジン