コラム

情報セキュリティ教育とは？
実施する際に考えるべきポイント・注意点

企業のIT化が進み、多様な働き方が生まれている中、組織を守るために情報セキュリティへの意識を高めることは、より重要になってきています。そうした中、企業の社員教育において情報セキュリティ教育の実施は欠かせない上に、より効果の出る、実践を促すものである必要性が高まっています。そこで今回は、情報セキュリティ教育について理解を深めるとともに、情報セキュリティ研修の目的や実施する際に考えるべきポイントや注意点までご紹介します。

■情報セキュリティ教育とは

働き方の多様化やリモートワークの普及などから、ネットワークを利用した遠隔でのコミュニケーションが増えています。そうした現代におけるコミュニケーションの課題の一つが、情報漏洩などのインシデント発生を防ぐため、いかに情報セキュリティを強化し、適切なマネジメントを行って組織的に安全性を確保するかということです。

近年増加している、ウィルス付きメール等を利用した標的型攻撃の脅威のほか、社員の知識不足や不注意等による情報漏洩等のリスクは、企業にとって大きな懸念事項です。

情報セキュリティリスクを軽減するため、企業はガイドラインに沿って自社の情報セキュリティポリシーを設定するだけではなく、そのポリシーを社内に周知・徹底し、行動につなげるために特別に対策を行う必要があります。

その対策の一つとして、社員の情報セキュリティに関するリテラシーや意識を向上させる「情報セキュリティ研修」が重要視されています。企業を狙った攻撃の特徴や傾向・対処法など、セキュリティに関する基礎知識の習得を促し、基本的なセキュリティ対策やシーンに応じた最適な対策を行える能力を培うための研修です。

■情報セキュリティ研修の目的とは？

では具体的に、情報セキュリティ研修を効果的に実施するためには、どのような目的で、どのような点に注意し、どのような内容を取り組みを行う必要があるのでしょうか。

もちろん、実際に情報セキュリティインシデントを起こさせないためのルールや業務プロセス、セキュリティシステムの使い方の周知は必要ですが、それだけでは情報セキュリティ研修の効果を出すことができません。

そもそも情報セキュリティ研修の目的とは、研修を受ける社員が、自ら情報セキュリティインシデントを起こさない力を身に付けること、そしてサイバー攻撃のリスクに対して、最小限の被害に留めるための適切な対応が可能になることにあります。

■情報セキュリティ研修を実施する際に考えるべきポイント・注意点

上記の目的を達成できる、効果的な情報セキュリティ研修を行うためには、下記のような点について十分に検討、準備を行う必要があります。

○研修形態

研修形態は、公開講座、集合研修、eラーニングなどさまざまな方法から適した方法を選ぶことが大切です。

公開講座は会社指定の講座を受講する、または個人で探して申し込みを行います。

集合研修は、社内講師によって、または外部講師に委託し、決められた時間に受講者が集合し、開催されます。
実施形態はセミナールーム・会議室に集合する対面だけでなく、ZoomやTeams等のツールを活用したオンライン開催も普及しました。

一方、eラーニングは、リモートワークが進む現代において、パソコンやスマートフォンで「自分の好きな時間に好きなペースで」学習を進めていける点でメリットの大きな方法であると言えます。
eラーニングは、外部の提供会社から多くのツールが提供されています。理解度を確認するためのテストが含まれたものを選ぶと知識の定着に効果的でしょう。

以上のように、それぞれ特徴やメリット、費用なども異なりますので、自社に最適な方法はどれなのか、十分に検討する必要があります。

○研修タイミング

研修のタイミングの検討も必要です。毎年、半年、毎月ごとに定期的に実施する方法と、不定期に必要なタイミングで実施する方法があります。
一般的に、不定期に研修が実施されているタイミングとして、同業他社で情報漏洩事故が起きたときや、自社で情報セキュリティに関するヒヤリハット・事故が発生したとき、自社のセキュリティポリシーを変更したとき、社内のルールを変更したとき、社内に新しいセキュリティツールを導入したときなどがあります。

○研修対象者

研修の対象者は、自社の機密情報を始めとした情報全般を取り扱う全社員とすることが理想的です。特に個人情報を取り扱う社員は重要な研修対象です。

○研修内容

研修内容は、情報セキュリティの重要性を基本とし、自社のセキュリティポリシーやルール、セキュリティインシデントやサイバー攻撃発生時の対応方法、日頃からのなりすましメールの回避、暗号化の仕組みと方法、近年頻発している情報セキュリティ事故や事例、新情報、個人情報の保護に関する基礎知識などが一般的です。

自社内で研修内容を準備する場合は、無料で入手し、利用・参考にできる資料もあります。

例えば2022年にリニューアルされた総務省の「国民のためのサイバーセキュリティサイト」
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/index.html
には、企業や組織向けに情報セキュリティ教育用に各種資料が用意されています。

また、IPA 独立行政法人情報処理推進機構）の「情報セキュリティ・ポータルサイト」
https://www.ipa.go.jp/security/kokokara/study/company.html
でも、中小企業向け・大企業向けなどに、研修に活用できる資料が各種用意されています。

重要なポイントについては、理解度テストを実施して、きちんと知識を習得できているか確認することも重要です。

いずれも一般的な研修事項を抑えつつも、自社にとって最適な手段や内容を検討するのがおすすめです。

【最新版】情報セキュリティ教育に活用できる資料5選

■まとめ

情報セキュリティリスクに関するリスクが高まっているいま、情報セキュリティ研修は、企業にとって必須の研修といえます。社員に自ら考え行動することを促す効果的な研修が欠かせません。

働き方や場所が多様化しているいま、場所と時間を問わず学習できる点でeラーニングはおすすめです。

TOPPANでは、情報セキュリティ教育向けeラーニング「コア・ラーン」をご提供しております。情報セキュリティ人材育成のスペシャリストが開発したeラーニング講座で、情報セキュリティマネジメント試験問題のケースを用いて、現場で必要な考え方を学べる教材です。

学習進捗の可視化も容易に行える、管理側にとっても便利なツールを備えています。ご興味のある方は、ぜひお気軽にご相談ください。