ビジネスでITを使うことで便利になるだけでなく、さまざまなリスクが指摘されています。たとえば、サイバー攻撃やウイルス感染、情報漏洩、フィッシング詐欺などのニュースを聞かない日がないほど多くの事件が発生しています。これらのリスクを減らすため、組織での対応が求められているセキュリティ教育について解説します。
現代社会に必須のセキュリティ教育
セキュリティというと、外部からの攻撃をイメージする人が多いかもしれませんが、実際には従業員の管理ミスなどによる情報漏洩も多く発生しています。特に、リモートワークやクラウドサービスの普及により、これまでは社内に保存されていたデータが企業の外部に置かれたり、外部からアクセスされたりすることが増えています。このようなリスクから重要なデータを保護するには、「何から何を守るのか」を考えることが重要です。
| 情報セキュリティの概要 |
|---|
企業が保有する資産として、昔から「ヒト」「モノ」「カネ」が挙げられていましたが、最近ではこれに「情報」を加えることが一般的です。そして、情報セキュリティとは、こういった情報に関する資産である「情報資産」を保護することを指します。一般的には、情報の機密性、完全性、可用性を確保することが求められます。
この1つ目の「 機密性 」とは、許可されたものだけが利用できるように設計されていることを指します。たとえば、「IDやパスワードを知らない人はログインできない」ことや「経路上でやり取りを盗み見できない」といったことが挙げられます。 2つ目の「 完全性 」とは、内容が正しい状態にあることを指します。たとえば、「Webサイトが第三者によって書き換えられない」ことや「通信経路上でのやり取りを書き換えられない」といったことが挙げられます。 3つ目の「 可用性 」とは、障害が発生しにくく使える状態にあることを指します。たとえば、「大量のアクセスがあっても安定して使える」ことや、「故障が発生してもバックアップから復元できる」といったことが挙げられます。
ここで重要なのは、これら3つのバランスとコストを考えることです。機密性を高めようとして、何重にも鍵をかけて実用的に使えないシステムでは意味がありませんし、可用性を重視して機密性が低いのでは問題です。また、守るべき資産の価値に対して膨大な費用をかけるのは意味がありません。1万円を守るのに10万円の金庫を導入するのでは本末転倒でしょう。
| セキュリティ教育の目的 |
|---|
組織が持つ情報資産を守るためには、特定の人だけがスキルを持っていても意味がありません。実際にデータを扱うのは実務を担当する従業員であり、この全員がセキュリティに対する知識を身につけ、意識を高めることが求められています。どれだけ対策をしてもリスクを完全に無くすことはできませんが、可能な限りリスクを減らすために組織として実施するのが「セキュリティ教育」です。
このときに重要なのは、どのような脅威があるのかを知り、そのリスクの大きさを意識した教育を実施することです。この脅威の内容やリスクの大きさは、その組織の規模や業務内容によって異なります。このため、自組織にあった対策が必要で、それに合わせた教育を実施しなければなりません。
パスワードの適切な管理やウイルスへの対策などの一般的な脅威については、どのような組織でも同じような対策ができると考えるかもしれませんが、導入しているIT機器の種類や利用状況によって運用方法は変わります。当然、運用ルールは組織によって異なり、組織ごとにセキュリティポリシーなどを定めています。自組織におけるセキュリティポリシーなどがどのような内容なのかを従業員が把握し、それに沿って運用しなければなりません。
このためにもセキュリティ教育を実施し、具体的な行動指針を示します。また、世の中で使われている攻撃手法や情報漏洩の原因などについて学ぶことで、従業員が自らの行動を見直すことにつながります。
| 世の中の変化への対応 |
|---|
セキュリティ教育は一度だけ実施すればよい訳ではありません。新しい技術が次々に登場し、日々変化しているため、セキュリティに関する脅威も常に変化しています。このため、多くの企業では少なくとも年に1回程度はセキュリティ教育を実施し、最新の脅威やトレンドを伝えています。これにより、従業員の知識を更新するとともに、セキュリティ意識を高めています。
このとき、技術の変化だけでなく、法律などの変化もあります。多くの国や地域では、個人情報をはじめとしたデータの保護に関する法律が少しずつ厳格化されています。法令を遵守しないと、罰則や訴訟のリスクもあるため、更新された内容を教育内容に反映していくことが求められています。
セキュリティ教育の設計と実施
セキュリティ教育を実施するときは、その内容や対象者を決めることから始めます。そして、適切なタイミングで、適切な教材を選択します。このとき、どのような教材や実施方法があるのかを紹介します。
| 目標設定と対象者の特定 |
|---|
学校では定期テストがあったように、教育のあとには理解度を確認するなど、その成果を評価しなければなりません。理解できていない人をそのまま放置するのではなく、問題があれば改善する作業が必要だからです。
セキュリティについては対象となる範囲が広く、それぞれの業務内容などによってリスクも変わります。そこで、どのような脅威からどの情報資産を守るのかを考え、どのようになれば教育の効果があったのかを測定できるように目標を設定します。
たとえば「フィッシング詐欺」をテーマにした場合、「フィッシング詐欺メールのリンククリック率を10%以下にする」といった数値目標を設定すると、その効果を数値として測定できます。また、「教育後の確認テストで90点以上を合格とする」といった指標を定めると判断しやすいものです。
それに加えて、対象者を特定します。セキュリティは城壁に例えられることが多く、全体として強固な壁があったとしても一箇所に弱いところがあるとそこを狙われてしまいます。このため、全従業員が高い意識を持って、業務に取り組む必要があります。
基本的には全従業員に対して定期的にセキュリティ教育を実施しますが、特に新入社員やITについての知識が少ない従業員に対しては早期に対応が必要です。また、経営者や管理職など役職が上がると、扱う情報の価値も上がることが考えられますし、情報システム部門など部署の業務内容によっては、より高度な内容に変更することもあります。
| 教材の選定と作成 |
|---|
目標と対象者が決まったら、その効果を最大限にするために教材の選定や作成に取り組みます。市販の教材の使用や、外部講師によるセミナーであれば、事前の準備はそれほど手間がかからない一方で、それなりのコストがかかります。情報セキュリティについての専門的なスキルを持った従業員が自組織内にいるのであれば、その従
業員に任せることで、自組織にあった教材を自由に作成するという考え方もあります。
一般的なセキュリティ教育の手法として、次のような選択肢があります。それぞれにメリットとデメリットがあるため、組織で用意できる環境やコスト、受講者が効果的に学べるかどうかなどを考慮して選択します。
- セミナーやワークショップ
会場に従業員を集めて、対面でのセミナーやワークショップを開催する方法です。実践的な内容を伝えられるだけでなく、講師に対して質問できることから理解が深まることが期待できます。 - eラーニング
事業者が提供するサービスをインターネット経由で利用する方法です。受講者は自分のペースで学習できるため、一度に集まることが難しい大規模な組織などで多く使われています。確認テストなども用意されていることが多く、理解度などを測定しやすい方法です。 - 書籍やハンドブック、ガイドライン
紙のテキストや簡潔にまとめられた資料を使う方法です。ある程度の分量がある教材で網羅的に学習できるだけでなく、日常業務でもそのテキストを参照できるため、長く役立つことが多いものです。
| 効果的な実施方法 |
|---|
セミナーやワークショップを開催するのであれば、いつ、どこで、どのような方法が効率的なのかを考えます。たとえば、受講者が参加しやすい日程と場所を選定するだけでなく、オンライン開催も選択肢に入れるとリモートワークをしている従業員も参加しやすくなります。
また、自組織の特徴を盛り込んだ教材を作成するのであれば、理論を解説するだけでなく、具体的に組織内で発生した事例を使って解説する方法が効果的です。実際の操作についてデモを交えたり動画を再生したりすることで、受講者が退屈することなく学習できるように工夫することもあります。クイズや演習、確認テストなど、受講者が考える教育内容にする方法も考えられます。
外部の専門家を招いた講義もよく使われます。活発に質問が出れば受講者の疑問を解消し、理解を深めることができますが、受け身になる受講者が多いことも事実です。そこで、講師が一方的に話すのではなく、グループディスカッションのように受講者同士が意見を交換する機会を作る方法もあります。従業員同士で会話をすることで理解度を測ることもできますし、実際の業務内容や被害事例に合わせたテーマで話すことで、その後の行動に繋がりやすくなります。
その他、フィッシング詐欺のメールを受け取った際の対応や、社内でのウイルス感染、情報漏洩の報告などについて、訓練を実施するのも有効です。地震などの災害に備えた避難訓練と同じように、情報セキュリティについても訓練の実施を検討するとよいでしょう。
セキュリティ教育の評価と改善
セキュリティ教育のあとには効果を測定し、想定した結果が得られなければ改善しなければなりません。
| フィードバックの収集と分析 |
|---|
講習のあとには、アンケートなどを使って感想や意見を集めることが一般的です。セキュリティ教育でも同じようにアンケートなどを回収し、それを次回以降の教育内容の改善に役立てます。このとき、アンケートへの回答を依頼するだけでなく、受講した内容についての簡単なテストをするとよいでしょう。これにより、受講者の理解度を測定し、その難易度を調整することもできます。
また、教育の効果を測定するためには、受講者の行動の変化を観察することもあります。たとえば、実施前後でのセキュリティインシデントの発生率の比較や、セキュリティポリシーの遵守状況を調査し、教育による変化を測定します。
| 継続的な改善 |
|---|
多くの場合、年に1度のセキュリティ講習では、それほど効果はありません。受講者の意識が少し高まることは期待できたとしても、日常の業務に戻るとセキュリティを意識した行動に突然変わることはあまりありません。
そこで、ちょっとしたことから意識を高めていくことが重要です。たとえば、セキュリティ教育の重要性を社内で広めるために、セキュリティに関する最新の情報や組織内で発生したインシデントなどを報告するメールマガジンなどを社内向けに発行する、オンラインセミナーなどの受講案内を配信する、といったことを繰り返すと、少しずつ意識が変わります。
そして、セキュリティポリシーを定期的に見直し、業務における情報の取り扱いについての運用ルールを変更するなど改善し続けることが重要です。
セキュリティ教育の具体的な内容
セキュリティ教育は定期的に実施しているものの、毎年繰り返していると内容がマンネリ化していることも多いものです。セキュリティは幅が広いため、これまでに実施していない分野があれば、それに取り組んでみるのもよいでしょう。ここでは、よく使われる教育内容について紹介します。
| セキュリティポリシーなどの周知 |
|---|
普段の業務においては、セキュリティポリシーなどを意識することはあまりありません。しかし、組織ではセキュリティポリシーだけでなくプライバシーポリシーなども定められており、そこに組織での考え方が書かれています。普段はあまり意識しないからこそ、定期的なセキュリティ教育でその内容を改めて伝えるようにします。
| 情報セキュリティ10大脅威などの使用 |
|---|
セキュリティに関するトレンドを知るためには、定期的に公開される資料を確認することが有用です。たとえば、IPA(独立行政法人情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」などは、最新のトレンドがわかるだけでなく、詳しい対処方法などが紹介されているため、必ず確認するようにしてください。
また、「サイバーセキュリティ月間」のように政府や公共団体が主導するセキュリティ意識向上キャンペーンに合わせてセキュリティ教育を実施する組織もあります。
情報セキュリティ10大脅威 2025(IPA 独立行政法人 情報処理推進機構)
| 管理ミスなどの事例紹介 |
|---|
外部の攻撃者による高度なサイバー攻撃については、一般の従業員ができる対策は限られていますが、多くの従業員が対応できることとして管理ミスや誤操作、紛失・置き忘れなどがあります。このようなヒューマンエラーは技術的に防ぐことが難しく、従業員の意識を変えることが求められます。これらを減らすためには、実際に発生した事例を紹介することで注意喚起することが考えられます。
| CTFなどの実施 |
|---|
楽しみながらセキュリティを学ぶためには、クイズ形式などゲーム要素を取り入れる「ゲーミフィケーション」も注目されています。クイズに答えたり、正解数に応じてポイントを付与されたりすると、受講者のモチベーションが高まることも期待できます。 この1つの方法としてCTF(Capture The Flag)があります。隠されているFlag(答え)を探すことで楽しみながら学べるため、学習効果が向上する可能性があります。
| 新たな脅威への対応 |
|---|
誰でも安価に最新のAI(人工知能)が使えるようになり便利になった一方で、これを悪用したサイバー攻撃の手法が高度化しています。フィッシング詐欺についても、AIを使うことで文面はより巧妙になりますし、使われる技術も高度化しています。
また、WebカメラなどのIoTデバイスの利用者が増えていることから、これらのデバイスが狙われることも増えています。攻撃を受ける被害者の立場になるだけでなく、デバイスの管理者権限を奪われて他の攻撃に使われる攻撃者の立場になってしまう可能性もあります。
さらに、リモートワークの広がりにより、企業がセキュリティについて考慮すべき要素が大きく増えています。VPNなど安全性を高める手法はあるものの、適切に設定して使わなければなりません。
これらに対しては、Windows Updateなどを確実に適用するだけでなく、IoT機器など普段はセキュリティを意識することの少ない端末についても更新を忘れないことが求められています。
まとめ
サイバー攻撃などのニュースを聞くと、一般の人には関係ないと思ってしまいがちですが、多くの人ができる対策はたくさんあります。コンピュータを使っているのが「人」である以上、それぞれの人が意識を高めて情報漏洩などを発生させないように取り組むことが求められています。 技術的な対策も重要ですが、それ以上にセキュリティ教育の実施による意識の向上が必要なのです。
増井 敏克
