目次

  1. 情報セキュリティ教育とは
  2. サイバーリスクは経営リスク
  3. 情報セキュリティ教育の重要性
    1. オペレーション
    2. システム
    3. 人間
    4. 三者で最も大切なのは「人間」
  4. 情報セキュリティ教育のポイントは研修
  5. 効果のある情報セキュリティ教育しか意味がない
  6. 情報セキュリティ研修の準備
    1. 情報セキュリティ研修の形態の選択
    2. 研修のタイミングを検討する
    3. 研修の対象者を決める
  7. 情報セキュリティ研修を自社で行う場合
    1. 教材、社外資料の活用も
    2. 講師はセキュリティに精通していなくても良い
    3. 教育内容はテーマの組み合わせを
    4. 教育に役立つ「標的型メール訓練」
  8. 情報セキュリティ研修を外注する場合の特徴と費用
    1. 1社向けの研修の特徴と費用
    2. 公開研修の特徴と費用
  9. 研修でeラーニングを活用する場合の特徴と費用
    1. eラーニングはコスト優れているがコミュニケーションが課題
    2. eラーニングサービスを選ぶコツ
  10. 情報セキュリティ教育後にすべきこと

 情報セキュリティ教育とは、情報セキュリティ事故を未然に防ぐべく、従業員一人ひとりのセキュリティ意識の向上、セキュリティリテラシーの向上及び自社セキュリティポリシーの周知を目的とする教育です。

 「セキュリティリテラシー」とは、セキュリティに関する基本知識の理解、基本的なセキュリティ対策を行う能力のことです。

 パソコンの基本操作、ネットを使った情報収集、情報発信の能力を測る「ITリテラシー(情報リテラシー)」のほうはだいぶ昔から浸透していますが、「セキュリティリテラシー」はここ数年広く認知されるようになりました。

 情報セキュリティ上のリスク、サイバーリスクを経営者はどのように意識しているでしょうか?

 日本損害保険協会の「中小企業の経営者のサイバーリスク意識調査2019」(PDF方式:1.68MB)によると、自社がサイバー攻撃の対象となる可能性が高いと考えている中小企業の経営者はわずか6.2%で、大企業の経営者(28.0%)に比べると遥かに少ない状況です。

サイバー攻撃の対象となる可能性について尋ねた質問への回答(中小企業の経営者のサイバーリスク意識調査から引用)

 それにも関わらず、実際に中小企業の5社に1社がサイバー攻撃の被害を経験しているとあります。

 被害総額は50万円未満の回答が最多でしたが、1,000万円以上~1億円未満の事例もあったとのこと。

サイバー攻撃による被害額の回答(中小企業の経営者のサイバーリスク意識調査2019から引用)

 サイバーリスクは現実的で思ったよりも身近です。また場合によっては、想定以上の被害を受けてしまうものです。

 サイバーリスクを、貸し倒れリスクや自然災害リスクなどと同様に、経営リスクの重要テーマだと捉えてほしいです。

 サイバーリスクを軽減し情報セキュリティを強化するには、「オペレーション」「システム」「人間」の3つの側面から考える必要があります。

  オペレーションとは、ルールや業務プロセス、手順などを指します。情報セキュリティのポリシーを策定しルール化して、万が一何か発生したときの対応プロセスを明確にすることで、サイバーリスクを軽減できます。

 システムとは、パソコンのセキュリティ対策の実施や、ファイアウォールなどの導入を指します。

 人間とは、従業員のセキュリティ意識とセキュリティリテラシーの向上を指します。

 この三者はどれも情報セキュリティの向上に欠かせない存在ですが、相互に補完できる関係にあります。

 たとえば、従業員のセキュリティ意識が高ければ、そこまで厳しいセキュリティポリシーや高機能のシステムを導入しなくても効果があります。

 一方、従業員のセキュリティ意識が低ければ、厳重なセキュリティシステムや厳格なセキュリティポリシーが必要です。

 しかし、この三者の中にもっとも重要なのは人間です。

 理由は明白で、どんなシステムであっても人間の指示に逆らうことができないし、どんなに厳格なルールやポリシーであっても人間が守らなければまったく効果がありません。

 そのため、従業員のセキュリティ意識、セキュリティリテラシーの向上はもっとも重要で、日々の啓蒙活動を含め、情報セキュリティ教育はまさにそのための最重要手段です。

 情報セキュリティ教育は、主に研修と、日々の業務中の啓蒙活動やフォローアップ、すなわち現場での業務を通じて行う教育(OJT)に分かれています。

 研修は情報システム部門もしくは経営企画部門が主催するものです。

 一方、OJTは従業員間で発生するもので、例えばセキュリティ意識の高い上司がいれば、部下もセキュリティ意識が高まり、組織全体のセキュリティ意識が向上するようなものです。

 このような好循環を生み出すことにも、研修が一つのきっかけになります。

 従業員のセキュリティ意識を高める情報セキュリティ教育ですが、現場で本当に効果が現れているでしょうか。

 情報セキュリティの研修を何も考えずにやっている会社に聞くと、従業員から「毎年同じ内容で意味がない」「時間の無駄」と不平不満が現れ、形骸化しているところも多いようです。

 肝心の効果がなかなか現れず、セキュリティ事故は依然として後を絶ちません。

 よく考えるとそれはそうです。「毎年セキュリティ研修を全社員向けにやっている」だけでセキュリティ事故がなくなるのなら、毎年刑法や民法の研修を全国民向けにやれば、犯罪がなくなるはずです。

 情報セキュリティ研修は、効果が命です。

 ではどうすれば効果のある情報セキュリティ教育にできるのでしょうか?情報セキュリティ研修の準備から実施、フォローアップまでの手順やポイントを紹介します。

 情報セキュリティ教育のために、いきなり研修を開催するといっても、誰に対して、どのタイミングで、どんな内容で、対面なのかオンラインなのかなど、準備しておきたいことが多いです。

 そこで、準備のポイントを整理します。

 まずは、自社内リソースを活用して開催するか、それとも外部に委託するかという選択肢です。

 情報部門や情報セキュリティ担当者がいる会社ですと、これらのメンバーを担当者にあてることで自社内開催ができるでしょう。

 研修内容がより実務に近いものになることを期待できるだけでなく、外注の場合に比べて講師費用がかからないため費用面でもメリットがあります。

 ただし、担当するメンバーや部署は、研修を担当することにより本来の業務ができなくなり、かえってコストが増えることもありますので一概には言えません。

 外注する場合は、公開講座に行くのと、外部講師を社内に招いて開催するのと、外部のeラーニングサービスを契約するなどいくつかの方法があります。

 詳細は後ほど説明しますが、内部開催に比べて主催する部署の負担がすくなく、内容の正確性や網羅性が保証できるメリットもあります。

 とくにeラーニングについて、内部開催よりもコストが安いのが一般的で、多くの企業で採用されています。

 研修のタイミングは、主に定期と不定期の2種類あります。定期的な研修は、例えば毎年全員向けに実施するセキュリティ研修や、新卒向けセキュリティ研修などがあります。

 全員向けの研修の場合、タイミングに細心の注意を払う必要があります。多ければ多いほど効果があるというわけではないからです。

 定期研修の目的は、組織変更や人事異動などによりセキュリティ意識、セキュリティリテラシーがバラバラになったところ、研修によって足並みを合わせて同じ目線を持たせることです。

 そのため、頻度は1年に1回や半期ごとに1回などありますが、変動の少ない組織においては、年1回の開催で十分です。

 内容も半日以下で、毎年同じ内容になることを避けて最近の動向を取り上げると良いででしょう。

 一方、定期研修を補うのは随時行われる不定期研修です。以下、タイミングの主な例です。

  • 同業他社で事故が起きたとき
  • 自社でヒヤリハット・事故が発生したとき
  • セキュリティポリシーが変更になったとき
  • 新種のウイルスが発生したとき

 研修の対象者は「機密情報にアクセスする可能性があるすべての人」です。

 機密情報とは、会社の財務情報や人事情報、顧客リスト、開発中の製品情報、製造工程情報などだけでなく、「個人情報」も重要な部分です。

 例えば取引先の氏名と電話番号も当然ながら個人情報なので、立派な「機密情報」です。

 そのため、「私は機密情報なんかまったく扱っていない」という従業員は基本的にいないはずです。

 さらに、自社の従業員だけでなく、必要に応じて契約社員・外部委託先の社員などに対しても実施する必要があります。

 部署や役職に応じた研修の実施も有効です。

 営業職は取引先や価格に関する情報を扱う機会が多く、逆に製造部門の従業員は製品情報を扱う事が多いので、情報セキュリティの重要視する側面が異なることがあります。

 また、管理職は部下のセキュリティ教育の責任を持っているだけでなく、万が一部下がセキュリティ事故を起こしたときの緊急連絡先になっているケースもあるので、管理職向けのセキュリティ研修を実施すると良いでしょう。

 形態やタイミング、対象者が決定すると実際の実施フェーズに移ります。自社で行う場合と外部に委託する場合と比べてプロセスが大きく変わるので、ここではそれぞれを紹介します。

 自社で行う場合、カリキュラムを自由に決めることができ、スケジュール調整も融通が効きます。

 さらに、自社の情報セキュリティの弱みを把握しているのであれば、本当に伝えたいことを重点的に解説できる点は自社企画ならではのメリットです。

 自社で行っても、必ずしもすべてのコンテンツを自ら作成しなければならないというわけではありません。

 例えば、独立行政法人情報処理推進機構(IPA)が公開している「情報セキュリティ・ポータルサイト」には多種多様な資料が揃っているので、自社教材の参考資料を探すときなどにお勧めです。

 自社で行うときの講師は社内の人間になりますが、実は必ずしもセキュリティに精通している人ではなくもいいです。

 繰り返しになりますが、セキュリティ教育の目的にはセキュリティ意識の向上とセキュリティリテラシーの向上、セキュリティポリシーの周知の3つです。

 意識の向上を狙う場合、セキュリティ知識が豊富というよりも、話し方がうまい方や部署を超えて顔が広い方のほうがいいかもしれません。

 一言で「情報セキュリティ」といってもたくさんの内容が含まれています。一般的には以下のテーマを含めることが多いです。

  • 情報セキュリティの重要性
  • セキュリティポリシー、ルール
  • セキュリティ事故発生時の対応方法
  • セキュリティ事故の事例(内部、外部)
  • セキュリティリテラシー(怪しいサイトの見分け方、なりすましメールの見破り方、暗号化の方法など)
  • 情報セキュリティのトレンド(最近流行っているウイルスや攻撃)
  • 業種別のセキュリティ情報
  • 個人情報の保護

 受講者のレベルや実際に扱う情報に応じて、適宜テーマを組み合わせて実施すると良いでしょう。

 「情報セキュリティ」と「ITの利便性」はどうしても相反する部分が出てきます。

 情報セキュリティの重要性がわかっていても、実施するのは「面倒くさい」と思い、優先度を下げてしまう人がいないわけではありません。

 そのため、いかに「情報セキュリティが身近で、対策を取らないとまずい」ということを認識してもらい、自ら取り組んでもらうようにすることが大事です。

 そこで、役に立つのは、標的型メール訓練です。

 標的型メール訓練とは、擬似的な外部からの攻撃メールを従業員に配信し、従業員の反応を試すものです。

 警戒感を持ってメールを削除したり報告したりした従業員は試練に耐えたとし、一方メールを開いて中のリンクをクリックしてしまった従業員に訓練であることを説明し、セキュリティ研修を受講してもらうようにします。

 標的型メール訓練は、動機付けだけでなく、セキュリティ意識の足りない従業員のみひっかかるため、必要な教育を必要な人にだけ届けられるメリットもあります。

 外注する場合、内容の正確性や網羅性が保証されるのと、最新のセキュリティ事情(犯罪者の攻撃手口や流行りの攻撃手法など)が聞けるのが一つのメリットです。

 ここでは、1社向けの研修と公開研修の2つの形式にわけて、それぞれの特徴や費用を紹介します。

 1社向けの研修で、ほとんどの場合は講師を呼び自社の会議室などで行います。しかし、まれに外部の場所を利用することもあります。

 1社向けの研修ですと、予算や目的に合わせて柔軟にカスタマイズができて、例えば途中に自社従業員による講演を入れることもできます。

 デメリットは費用が高くなりやすいことで、講師費用だけで1日あたり10万~20万円が一般的です。

 あらかじめ会場が決まっており、さまざまな企業から人が集まるのが公開研修です。

 公開研修は、実績の多いカリキュラムと他社の従業員と話すことができるところが魅力的です。費用は一人あたり数万円程度です。

 ただし、スケジュールが決まっており、参加者はそれに合わせてスケジュール調整をする必要があります。

 1社向け研修も公開研修も、期間が半日もしくは1日程度のものが多いです。

 外注というより、外部サービスを利用する方式としてeラーニングが注目されています。

 eラーニングとは、各自でインターネット上の文章や動画などのコンテンツを見ながら、情報セキュリティ対策が必要な理由や基本知識を学習できるサービスです。

 eラーニングの特徴は、とにかく費用が安くて、一人あたり数千円レベルです。

 ネット環境さえ確保すれば受講ができるので、好きな時間帯に好きな場所で自分のペースで受講できます。また、何回受講しても追加費用が発生しないサービスもあります。

 eラーニングのデメリットは、集合研修より強制力が弱く、講師や他の受講者とのコミュニケーションができないことなどです。

 また、IPAが無償のeラーニングサービス「情報セキュリティ対策支援サイト」を提供しています。

 これらの方式を組み合わせて、例えば入社時は公開研修に参加させきちんと基礎を築き、その後毎年eラーニングでセキュリティの最新事情を学んでもらうなど、適切に使うと良いでしょう。

 手軽にスタートできるものが多いeラーニングサービスですが、情報セキュリティ教育の観点で選ぶときにいくつかの側面から考える必要があります。

内容が適切かどうか

 自社業務との関連性、自社従業員のレベルにあっているかどうか、理解しやすいかどうかを確認します。

興味や関心を喚起できる内容になっているか

 eラーニングの研修は、「つまらない」と評価されることが多いです。特にセキュリティ意識の低い従業員は、そもそもセキュリティに関心がないため、「やっつけ仕事」のようになってしまうケースが多く、研修後内容をほとんど覚えていないということになります。

理解度テストがきちんとしているか

 eラーニングのコンテンツは、ほとんど最後に理解度テストがついています。ただし、答えを間違えてもすぐに正しい答が分かり、適当にやっても合格できるようなサービスもあります。

 ルールやポリシーだけでは人が動きません。情報セキュリティを、企業文化の一要素として定着させないとなかなか効果がありません。

 アマゾン社の子会社AWSでは、「Security is job zero(セキュリティはすべての仕事より優先だ)」というモットーがあります(参考:AWS Cloud Enterprise Strategy Blog・Security at AWS)。

 モットーに留まっておらず、実際の業務プロセスにおいて常にセキュリティを確認してから他のステップに進むようになっています。

 そのため、情報セキュリティ教育は決して「研修をやって終わり」ではなく継続的に行い、組織の文化醸成によってサイバーリスクに強い企業を作っていく必要があります。