社内向け情報セキュリティ教育の項目と実施手順､注意点

情報セキュリティ教育とは、従業員の意識を向上させることによってセキュリティ被害を防ぐ取り組みで、サイバー犯罪の増加などから重要度が高まっています。この記事では、情報セキュリティ教育について実施方法の手順や注意点、便利なツールを紹介します。

不正アクセスやサイバーテロなど、サイバー犯罪によるセキュリティ被害は年々増加しています。これらの被害から会社を守るには、システムの強化とともに従業員のセキュリティ教育が必須となります。

本記事では、情報セキュリティ教育の概要をはじめ、情報セキュリティ教育に必要な項目や実施方法、その注意点を解説します。

情報セキュリティ教育とは

情報セキュリティ教育とは、従業員のセキュリティ意識や情報リテラシーを向上させる教育のことです。サイバー攻撃によるセキュリティ被害を回避することはもちろん、情報セキュリティに対する知識に、従業員による差が出ないようにすることを目的としています。

情報セキュリティ教育が重要視される理由

情報セキュリティ教育が重要視される背景として、サイバー犯罪の増加や手口の巧妙化が挙げられます。

サイバー犯罪は決して他人事ではありません。顧客の個人情報などが流出すれば、被害は企業だけでなく顧客にも広がります。被害額の大きさもさることながら、顧客や社会からの信用が失われることは経営リスクにも直結します。

このようなサイバー犯罪の被害は、従業員が正しい知識を身に着けセキュリティ意識を高めることで最小化できます。そのため、システムの強化や運用ルールの厳格化に加え、利用者である従業員の教育も重要な対策です。

総務省も、従業員⼀⼈ひとりが情報セキュリティ対策の必要性を理解する必要があると述べています。
（参照：社員・職員全般の情報セキュリティ対策｜国民のためのサイバーセキュリティサイト）

企業のセキュリティ被害事例

増加しているセキュリティ被害には、どのようなものがあるのでしょうか。情報セキュリティの脅威として代表的な「ランサムウェア」「標的型攻撃」「不正アクセス」について、事例を紹介します。

ランサムウェア

ランサムウェアとは、ウイルスによってデータを暗号化することでシステムやデバイスを使用できなくし、復旧させることと引き換えに金銭を要求するマルウェアです。

ランサムウェアの代表的な感染経路として、フィッシングメールがあります。取引先や金融機関を名乗ったメールにファイルを添付したり、フィッシングサイトへのURLを記載したりして、ファイルの開封やURLへのアクセスをさせてウイルスに感染させる手口です。

ウイルス検知の技術も発達している昨今ですが、パスワードつきのzipファイルを悪用して検知をすり抜けるなど、フィッシングメールの手口も巧妙化しています。また、金銭を支払わないと不正入手した情報を公開すると脅迫する「二重恐喝」という手口も見られるようになりました。

ランサムウェアによる攻撃は多く、公立病院や大手食品製造業のグループ会社も被害を受け大きく報道されました。いずれも基幹システムが使用できなくなり、バックアップデータにまで被害が及び、通常業務に大きな支障が出たことはもちろん、システムの復旧までに2カ月以上もの時間がかかりました。

標的型攻撃

標的型攻撃とは、特定の組織をターゲットにしたサイバー攻撃です。主に、機密情報を盗み出すことや業務を妨害することが目的です。攻撃ターゲットが明確なので、事前にかなりの準備がされている場合が多く、事前対策も攻撃への対応も難しい傾向にあります。また、攻撃が持続的であることも特徴です。

こちらも、実在する組織や人物を詐称したメールからウイルスに感染させる手口が多く見られます。特にテレワークが浸透してからは、オンライン会議の案内を装ったメールが増えています。さらに、対策が不十分な状態でテレワークへ移行したシステムの脆弱性を狙った攻撃も発生しています。

過去には大手食品卸業社や総合ITベンダーが攻撃を受け、個人情報や顧客情報が盗まれる事件が発生しました。海外では、政府機関を標的にしたサイバー攻撃も確認されています。

不正アクセス

不正アクセスとは、アクセス権限を持たない人物がサーバーやシステムに侵入する行為です。システムの脆弱性を利用する侵入行為と、他人のID・パスワードを不正に入手してアクセスするなりすまし行為があります。

警察庁・総務省・経済産業省の発表によると、不正アクセスの認知件数は令和に入ってから一気に増加しており、被害を受けている90％以上が一般企業です。主に不正に経済的利益を得ることや情報を盗むことが目的であり、IDやパスワードはフィッシングサイトから入手する他、権限を持つ人のパスワード管理の隙をついた手口が多く見られます。
（参照：不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況）

不正アクセスによる被害は個人情報の漏えい以外にも、Webサイトを改ざんされたりデータを破壊されたりするなどの事例があります。

情報セキュリティ教育の前にセキュリティポリシーを策定

実際に起こった企業のセキュリティ被害の発生要因として、フィッシングメールを開いてしまうなどの人的ミスが散見されるため、従業員へ情報セキュリティ教育を行う必要がありますが、その前に、まずセキュリティポリシーを策定しましょう。

情報セキュリティポリシーとは、企業や組織が情報セキュリティに対してどのような指針で考えて行動するのかを明示したものです。一般的には、「基本方針」「対策基準」「実施手順」で構成されます。

基本方針では、情報セキュリティに対する全体的な考え方を示します。代表者による理念の宣言、情報セキュリティポリシーの適応範囲、その対象者、違反時の対応などが記載されます。

対策基準と実施手順は、セットで考えると分かりやすいでしょう。対策基準で部署別・サービス別にガイドラインを作成し、ガイドラインを達成する方法を実施手順で説明します。

情報セキュリティポリシーを策定したら、定期的に説明会を行う、同意書に署名してもらう、違反時に罰則を設けるなど、社内に情報セキュリティポリシーを浸透させるための継続的な取り組みも重要です。

情報セキュリティ教育を社内で実施する手順

情報セキュリティ教育は、以下のステップを繰り返して行います。

• 研修内容の計画
• 研修の実施
• 理解度確認テストやアンケートの実施
• 研修への参加状況やテスト結果などの分析
• 分析結果を基に計画の見直し・改善案の反映

セキュリティ意識向上の教育を行える動画コンテンツやフィッシングメール訓練、理解度確認テストなど、eラーニングのコンテンツがあらかじめ豊富に揃い、社員別やグループ別に受講状況や理解度の効果測定分析も行えるサービスも各社から提供されています。

このような情報セキュリティ教育サービスを利用するのも有効でしょう。

情報セキュリティ教育のポイント

この項目から、情報セキュリティ教育を行う上でおさえるべきポイントを解説していきます。

研修を受ける対象者

情報セキュリティ教育の対象者は、社内の情報に触れるすべての人であると考えましょう。

自社の従業員に限らず、業務委託先の従業員、フリーランスのスタッフなどといった関係者まで、対象範囲を広げる必要があるでしょう。

研修の実施タイミング

研修を行うタイミングも重要です。研修の頻度が徐々に減って実施されなくなったり、研修が先延ばしされ続けたりといった事態にならないように、月1回定期的な実施など、あらかじめ実施タイミングを決めておくとよいでしょう。

また自社や同業他社で事故が起こった時は、従業員のセキュリティへの関心が高まり、研修に対する理解が深まりやすいので、不定期ピンポイントで実施することも効果的です。

研修の実施形式

研修は、社内で内製するか外部サービスを利用するかで、設計方法が大きく異なります。どちらにもメリットとデメリットがありますが、社内で内製する場合は、担当する社員は研修カリキュラムの準備や実施が従来の業務に追加となり、稼働がひっ迫して通常業務に支障が出る可能性もあります。

一方で外注する場合は、外部講師による研修やeラーニングサービスの利用などの選択肢があります。外部講師を招く場合は講師料や会場費などの費用がかかり、社内周知や日程調整に手間がかかる場合も多いでしょう。

そこで注目されているのが、eラーニングサービスの利用です。サービス内容やアカウント契約数にもよりますが、比較的低価格かつ少ない手間で効率的に研修を実施できます。時間や場所を選ばず、従業員一人ひとりに合った研修ができることが大きな魅力です。

理解度確認テスト

研修を行うだけではなく、研修内容をきちんと理解したかを確認することも重要です。結果が思わしくなければ、理解できるまで反復学習を行います。

知識の理解度は、選択形式のテストで理解度を点数で示したり、現場で起こりうる問題への対応方法をインタビュー形式で質問することなどで確認できます。

テスト結果が全体的に良くない場合は、研修内容の見直しが必要でしょう。

情報セキュリティ教育の項目例

情報セキュリティ教育で取り上げる項目の中でも、代表的なものを紹介します。

パスワード管理

PCなどのデバイスや、メールをはじめとする業務用ツールなどのパスワードは、厳格に管理する必要があります。

複雑なパスワードをツールごとに用意する他、パスワードを他者から見える場所で確認しないなど、日ごろの行動も研修で教育できます。

メール誤送信予防

メールの宛先や添付ファイルを間違えたことによって、意図せずに情報漏えいを引き起こしてしまう事故が頻発しています。毎日のように使用するツールだからこそ、正しい知識と行動を身に付けることが必須です。

オートコンプリート機能への注意喚起やCCとBCCの使い分けなども、このテーマで取り上げられます。

バックアップの実施

サイバー犯罪が起こらずとも、PCなどの故障や誤操作によってデータが破損・消失する可能性があります。それらに対策するには、定期的にバックアップを実施しておくことが有効です。

バックアップの手法だけでなく、バックアップデータの管理方法も研修内容に盛り込んでおくとよいでしょう。

ウイルス対策

ランサムウェアによる攻撃の手口が巧妙化している中、ウイルス対策に関する教育は欠かせません。業務で使用するPCなどにはウイルス対策ソフトを必ずインストールし、常に最新のものへアップデートしておく必要があります。

また、フィッシングメールや、USBやBluetoothで接続する周辺機器に関する取り扱い、万が一ウイルスに感染した時の対応方法なども、押さえておくべき項目です。

内部不正による情報漏えいの防止

内部不正には事故も含まれます。悪意がなかった場合でも、データが保存されたUSBメモリーなどの記録媒体を紛失すると、結果として不正持ち出しや運用ルール違反などの内部不正とみなされてしまいます。データ持ち出しのルールや取り扱い方法は、確実に理解が浸透するように徹底しましょう。

近年は、SNSに顧客情報が入った投稿をしてしまう、投稿した写真に機密情報が写り込んでしまうなど、SNSをきっかけにした情報漏えいも起きているため、SNSの取り扱いに関する対策も重要になります。

Wi-Fiや公衆無線LANの利用

テレワークの広がりで、会社以外の場所からWi-Fiなどに接続して業務を行う人も増えてきました。Wi-Fiや公衆無線LANは誰でも簡単に利用できる一方、情報を不正に入手される危険性もあります。

安全なアクセスポイントの見分け方、接続している時のファイルの取り扱いルールなどを周知することが大切です。

情報セキュリティ教育の注意点

情報セキュリティ教育は、継続的な教育を行って従業員の意識を高めていくことが重要です。情報セキュリティやサイバー犯罪に関する情報は変化が激しく、次々に新しい攻撃手法やリスクが生まれているので、定期的に情報の見直しを行う必要があります。

一度の研修で終わることなく、最新の内容にアップデートした情報を定期的に共有することで、従業員の意識を高める取り組みを継続的に行っていきましょう。

社内のセキュリティ教育とeラーニングでおすすめサービス2選

ここからは、従業員に対してセキュリティ教育が行えるおすすめのサービスを2つご紹介します。

WideAngle プロフェッショナルサービス セキュリティ教育＆メール訓練

「WideAngle プロフェッショナルサービス セキュリティ教育&メール訓練」は、セキュリティ意識向上トレーニングの「KnowBe4」をプラットフォームとしたサービスです。

セキュリティ教育とフィッシングメールの模擬攻撃訓練、効果測定を一つのプラットフォームで提供することにより、リスクレベルを可視化し、セキュリティ意識が向上しているかどうか数値化して評価することができます。

コンテンツは豊富で多言語対応。教育動画、フィッシングメール訓練のメールテンプレートはNTTコミュニケーションズのオリジナルコンテンツを随時提供し、日本の情勢に合ったトレーニングを提供します。

利用ユーザー数に応じた月額サービスで、教育コンテンツやフィッシングメール訓練は使い放題。場所やデバイスを選ばないので、どこからでもいつでも受講できます。

また、設定サポート（オプション）で運用のアウトソーシングが可能です。初期設定から運用までNTT コミュニケーションズの推奨する設定項目をパッケージ化して提供しますので、お客さまによる設定や操作は不要です。

ランサムウェア対策基本セット

先に紹介した「WideAngle プロフェッショナルサービス セキュリティ教育&メール訓練」と、PCのセキュリティ強化をするセキュリティソフト「マイセキュア ビジネス」をセットにしたサービスです。

IT環境のエンドポイント（人・PC）を、ランサムウェアを始めとしたマルウェアなど最新の脅威や攻撃から守るための基本セットです。
セキュリティリスクを組織に持ち込ませない行動を社員に根付かせながら、PC本体にもソフトを導入し会社の資産や事業基盤を守ることが可能です。

セットでご契約いただくことで単体でのご契約よりも、それぞれ月額料金が10%お安い料金でご利用いただくことができます。

「マイセキュア ビジネス」は、従来型のセキュリティソフトと比較し、フルクラウド型の超軽量ソフトでインストールやスキャンが超高速。わずか3MB未満の業界最小クラスの端末アプリにより、インストール所要時間は通常数秒以内です。

グレー判定（未知の脅威）に対する最大限の防御を実施。安全か危険か判定できない未知のファイルの振る舞いを監視。怪しい振る舞いを瞬時に検出すると同時に、ウイルスと判定された場合にはファイルを元の状態に修復します。

情報セキュリティ教育で使える無料の資料

情報セキュリティ教育の重要性が高まるにつれて、無料で利用できる資料も増えています。

IPA（情報処理推進機構）では、情報セキュリティ対策に関する情報発信を行うWebページを運営しており、様々なシーン別の情報セキュリティ対策や、相談窓口、教材など参考になる情報がまとめられています。

また、総務省の「国民のための情報セキュリティサイト」では、幹部・従業員・情報管理担当で分けて、それぞれの立場ならではのセキュリティ対策を紹介しています。事故や被害の事例も豊富です。

従業員への情報セキュリティ教育を目的とした有料のサービスも各社から提供されており、教育コンテンツや理解度確認テストなどのeラーニングを実施し、社員の受講状況や理解度を把握することもできる機能も付随しています。

研修担当者の負担をかけずに効果的な情報セキュリティ教育を行うことができるので、有料サービスの利用も検討してみましょう。

まとめ

情報セキュリティ教育は、さまざまなセキュリティ被害から会社を守る大切な取り組みです。社内研修の実施方法として、従業員一人ひとりに合った形で実施できるeラーニングが注目されています。
継続的な社内研修を通して、従業員の意識と情報リテラシーを向上させることが、セキュリティリスクを最小限に抑えることにつながります。今回ご紹介したサービスも非常に有効なので、ぜひ検討してみてはいかがでしょうか。