情報セキュリティ教育に
活用できる資料5選
多くの企業で、情報セキュリティ教育のため、様々な研修が取り入れられていますが、実施する際には、より効果の高い取り組みを実施したいものです。そんな情報セキュリティ教育に欠かせないのが、最適な教材選びです。そこで今回は、社内の情報セキュリティ教育に活用できる公開資料を5種類ご紹介します。
■情報セキュリティ教育とは?
情報セキュリティ教育とは、情報セキュリティに関する教育研修全般を指します。
具体的には、サイバー攻撃やマルウェアへの感染といったセキュリティインシデントを防ぐための教育のほか、各自の情報の取り扱い方や、情報漏洩に対するリスクやその対策も含まれます。
従業員に対してどのような脅威が存在するのか、またどういった経緯で事故が起きるのかといったことを周知し、注意喚起しながら、具体的に予防策や対策を教育します。
このように、情報セキュリティに関して従業員に教育して意識を高め、なぜ対策が必要なのかも十分に理解してもらうことでリスクを軽減します。
情報セキュリティ教育が求められている背景
近年、サイバー攻撃の件数が増加傾向にあり、その手口も年々巧妙化しています。またテレワークなどの浸透で、社内外でリスクが高まっています。実際、セキュリティの脆弱性を狙った情報漏洩や金銭被害などの重大な被害をもたらすインシデントが多発しています。
技術的なサイバー攻撃対策はもちろんのこと、全従業員への研修は必要不可欠といえます。
情報セキュリティ教育のための研修形態としては、講義形式やeラーニング形式など様々なタイプがあります。eラーニングはパソコンやスマートフォンで自分の好きな時間に好きなペースで学習を進めていける方法であり、近年のワークスタイルに適していることもあり、導入が進んでいます。
情報セキュリティ教育の実施手順
情報セキュリティ教育を実施する際には、概ね下記のような手順で進める必要があります。
●教育実施内容・テーマを決める
まず、教育を実施することにより、従業員に何を学んで欲しいのか、明確にすることが重要です。一口に情報セキュリティ教育といっても、その内容は多岐に渡るため、ある程度テーマごとに区切って教育を実施することが望ましいと言えます。
●教育対象者を決める
次に、誰に対して教育を行うのか(全社員/特定の部門の社員/特定の階層の社員など)、教育を実施する際の対象者を決定する必要があります。
●教育実施頻度・時期を決める
計画的に情報セキュリティ教育を実施できるよう、実施する頻度や時期を決めておくことも重要です。
頻度としては、四半期に一度、半年に一度、年に一度、などが考えられます。
また、時期に関しては、新入社員が入社したタイミングや異動の時期などが一般的です。
●教育の実施方法を決める
情報セキュリティ教育の実施方法に関しても、例えば社内での集合研修、eラーニングによる教育、外部セミナーの利用など、様々な方法があり、それぞれメリット/デメリットがありますので、自社に最適な方法を検討する必要があります。
また、自社で実施する場合は、どんな教材を使用するか、についても検討する必要があります。
●実施後は効果測定を行う
また、情報セキュリティ教育を実施した後には、しっかり身に付いているか、テスト等により効果測定を行い、必要であれば次回に向けて教育内容等の見直しを行う必要もあります。
■情報セキュリティ教育に活用できる資料
情報セキュリティ研修に欠かせないのが、教材です。教材の中でも、現状やセキュリティリスクの実態を知る上で役立つ資料は、ネット上で多く無料配布されています。そこで今回は、参考になる教材としての資料をご紹介します。
IPA 普及啓発資料
IPA(独立行政法人 情報処理推進機構)が提供している普及啓発資料は、全般的に役立ちます。ここでは主な資料をご紹介します。
・「情報セキュリティ10大脅威2022」
2021年に発生した情報セキュリティにおける事案のうち、社会的に影響が大きかったと考えられるものが、「個人」「組織」それぞれ、1位から10位まで順位付けして解説されています。研究者や専門家が審議・投票を行ったもので、参考事例として重要な資料となります。
・「情報セキュリティ白書2022」
現状の概要を知るのに最適な資料です。情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態などのほか、その年ならではの象徴的なトピックを知ることができます。
・「映像で知る情報セキュリティ」
近年、文字情報だけでなく、動画によるわかりやすく記憶に残りやすい研修が多く実施されています。この映像コンテンツは研修の一助となります。情報セキュリティ上の様々な脅威と対策を、ドラマなどを通じて学ぶことができます。YouTube内の「IPA Channel」による公開とDVD-ROMの配布があります。
・「情報漏えい発生時の対応ポイント集」
情報漏えい事故が発生した場合の対応策や注意点をまとめたもので、そのまま教材としても利用できそうです。
IPA「情報セキュリティ・ポータルサイト」の教育・学習コンテンツ
IPAの「情報セキュリティ・ポータルサイト」では、研修に役立つ情報が網羅されています。その中でも、「教育・学習」メニューの中小企業向け、より大きな企業・組織向けコンテンツは、研修に役立つ資料が多くリストアップされています。
総務省 国民のためのサイバーセキュリティサイト
総務省のこのWebサイトでは、教育用資料が多く公開されています。
「インターネットと情報セキュリティの基礎知識 - インターネットって何?」という初歩的な資料から「情報セキュリティに関する重要技術」「事故・被害の事例」や、「社員・職員全般のための情報セキュリティ対策」「情報管理担当者のための情報セキュリティ対策」「組織幹部のための情報セキュリティ対策」まで多様な層に役立つ資料がそろっています。
JPCERT コーディネーションセンター「新入社員等研修向け情報セキュリティマニュアル」
JPCERT コーディネーションセンターでは、新入社員等研修向け情報セキュリティマニュアルを公開しています。企業や組織の教育担当者や情報セキュリティ担当者がどのように研修を行えばいいかを知ることができます。
NISC「小さな中小企業とNPO向け情報セキュリティハンドブック」
内閣サイバーセキュリティーセンター(National center of Incident readiness and Strategy for Cybersecurity/NISC)によるWebサイト上では、特に小規模な事業者や、セキュリティ担当者を置くことがむずかしい企業やNPO(特定非営利法人)に向けて、サイバーセキュリティをわかりやすく解説した「小さな中小企業とNPO向け情報セキュリティハンドブック」を提供しています。基本的な事項とともに、イラスト等で説明されているので、わかりやすい資料です。
■まとめ
近年、情報セキュリティ教育の実施は必要不可欠となっています。その際、いかに良い教材に出会えるかということも、成否に関わってきます。今回ご紹介した公開資料を活用することで高い効果を期待できるでしょう。
■コア・ラーン「情報セキュリティ」のご紹介
TOPPANでは、情報セキュリティ教育向けeラーニング「コア・ラーン」をご提供しています。
情報セキュリティマネジメント試験の午後問題を題材に、関連する基礎知識を解説するケーススタディ中心の構成となっています。実例や最新情報の収集方法を豊富に取り入れ、実際に現場で役立つ知識や考え方を学ぶことができます。
情報セキュリティマネジメント資格の取得、情報セキュリティの体系的な学び直しなど、様々な目的にご利用いただけます。
eラーニング形式でいつでもどこでも学習に取り組めます。管理者の進捗管理機能も充実しており、管理がしやすく、各種分析にご活用いただけます。
情報セキュリティ教育を実施したいとお考えの際には、是非ご検討下さい。
2024.03.28