情報化社会の中で企業のみならず、個人でも情報の取り扱いは意識しなければいけません。
テレワークが進み、リモートでの作業が多くなる中で、情報セキュリティへの関心はさらに強まっています。
情報セキュリティにおける企業での取り組みについて、情報セキュリティの社内教育の必要性や内容、注意事項を解説します。
情報セキュリティの社内教育の必要性
ITシステムやインターネット技術の発展により、企業は多くの情報を管理・処理することが可能になりました。
利便性と引き換えに、管理やシステムの操作が複雑化し、情報の消失や漏洩のリスクが高まってしまう場合もあります。
また、管理する情報の価値が高くなることで、企業の規模に関わらず外部からのサイバー攻撃の対象になることも少なくありません。
攻撃や管理ミスで情報の消失や漏洩が発生してしまった場合には、企業の信用失墜はもちろんのこと、個人にも賠償責任が問われることがあります。
このようなリスクがある中で、情報セキュリティに関する対応は企業内で情報を扱う部門のみならず、すべての従業員が改めて情報に対するリスクを認識し、理解を高めて対策を講じるために、情報セキュリティの社内教育を行う必要があると考えられています。
情報セキュリティに関して社内教育すべき内容
情報セキュリティの社内教育はどのように行うと効果的でしょうか。
情報セキュリティの全体的な話や、他社でのセキュリティインシデントの事例を挙げて考察するのも一案としては良いですが、テーマや社内の環境、業務に関わる部分に絞って教育をするのが望ましい場合もあります。
特に、各従業員が注意を払う必要がある、身近な例でテーマを設定することでより効果的に情報セキュリティの社内教育は行えるでしょう。
パスワード管理について
パソコンやスマートフォン、タブレットなどの扱う端末も増え、さらに利用するソフトウェアやサービスも拡大していることによって、それぞれで扱うパスワードを管理する必要があります。
パスワードを生成する場合に名前や誕生日など推測しやすいもので設定してしまったり、同一パスワードを使い回すといったことが多く見られ、セキュリティのリスクが高まっています。
そのようなリスクを回避するためには、英数字や大文字小文字、記号を混在させ、安易な文字列を避けるなどパスワードポリシーの策定が必要になるでしょう。
また、パスワード保管にも気を付けるように注意を促しましょう。
ウイルス対策について
ウイルス対策ソフトを入れていても、標的型攻撃メールやフィッシング詐欺の被害の報告が後を絶たず、気を付けていてもウイルスに感染してしまうケースもあります。
そういった事態に備えて、ウイルスに感染するのはどういったパターンがあるのか、ウイルスに感染したらどうなるのか、ウイルスに感染した場合はどう対処するのかなど、予め準備できる対策は共有しましょう。
また、ウイルス対策ソフトでの定期的なスキャンなどでこまめにチェックするなど、日々の対策を依頼することも大切です。
電子メール誤送信
セキュリティインシデントの事例で最も多いものが電子メールの誤送信です。
たかが誤送信と思われる方もいるかもしれませんが、本来送ってはならない内容を他者に送付してしまったことで情報の漏洩に繋がり、会社の信頼を著しく低下させるリスクも大いにあります。
オートコンプリートという自動でメールアドレスを設定する機能もありますが、そこを信頼してしまうのも落とし穴です。
また、CCやBCCの入れ間違いなども注意が必要です。
メール送付時はきちんと宛先を確認するように周知、徹底させるようにしましょう。
バックアップについて
自分のパソコン内ファイルを保存していて、パソコンが故障してしまった際などの措置のためにも、情報のバックアップは非常に重要です。
そもそも最近では、自分のパソコンにファイルを保存することをセキュリティポリシー的に許していない企業も多いので、オンラインストレージなどに情報を保管するように促しましょう。
外部メディアや許可されていない端末の利用について
テレワークへの急速な対応を強いられたことにより、外部メディアでの情報の持ち出しや、会社貸与ではない私物のパソコンが利用されるケースも少なくありません。
外部メディアの紛失による情報漏洩や、私物のパソコンが充分なウイルス対策をされていない場合など、どちらも大きなリスクを抱えています。
社内のセキュリティポリシーを定め、管理の徹底および周知が必要になります。
情報セキュリティの社内教育をする方法
情報セキュリティの社内教育をする方法はいくつかのパターンがあります。
代表的なパターンとしては、自社内での講義研修や動画による研修、外部に委託もしくは外部主催の研修に参加する方法、そしてe-ラーニングなどが挙げられます。
様々な研修における情報セキュリティの社内教育の仕方のメリットやデメリットを確認していきましょう。
社内研修・動画
自社内で実施する研修の場合、自社のセキュリティポリシーやサービスや製品に特化した内容で教育を行えるのが大きなメリットです。
一方で、社内研修の教材を研修担当者が準備する労力が必要になったり、動画などの配信がない場合は講師として複数回登壇する必要があるケースがあります。
外部研修
外部での研修では、教材の準備が必要ないのと、自社内だと研修の内容がどうしても代わり映えしないものになりがちですが、外部研修であれば別の観点でのセキュリティ情報を学べる機会があるのがメリットと言えます。
デメリットは、外部のセミナーなどに出席する場合に移動の時間やコストなどが発生するケースがあることが挙げられます。
e-ラーニング
e-ラーニングのメリットはネット環境さえあれば期限内にいつでも受講が可能な点です。
また、いつ誰が研修を受講したかも管理できるので、研修担当者の負担が削減できます。
デメリットはあまりないと思われますが、強いていうのであれば実受講者に対して期限内に受講するように促す必要がある点などは注意しておきましょう。
情報セキュリティの社内教育をする際の注意点
情報セキュリティの社内教育をする際に、一方的な講義や動画を見せるだけでは効果はあまり期待できません。
より情報セキュリティに対する関心やリテラシーを上げるためにはいくつか注意点があります。
理解度のテストの実施
社内研修や外部研修、e-ラーニングにしても、講習を終えた後に理解度を測るテストを実施するべきでしょう。
理解度を測るテストの実施は、講義や研修の内容をちゃんと理解しているかの確認だけでなく、研修を受講したかを管理するためにも活用できます。
また、人間はテスト=合格という意識が働き、ただ聞いたり観たりするより真面目に取り組む傾向にあります。
日々の情報セキュリティに関する意識の向上
理解度のテストにも共通して言えることですが、教育する側も受講する側も、情報セキュリティ講習を実施したというだけでは終わりません。
本当に必要なのは学んだことを日々の業務の中で活かし、いかにセキュリティインシデントを発生させないようにするかの意識が大事です。
特にリスクが発生しやすい場面で冷静に判断できるように、日ごろから注意しましょう。
情報セキュリティの社内教育の重要性は増している
情報セキュリティを社内教育することの重要性はどんどん増してきています。
情報セキュリティは、
- オペレーション(ルールや手順)
- システム(ウイルス対策ソフトやファイアウォール)
- 人間(従業員)
の3つの側面から強化すべきと言われていますが、一番重要かつリスクが潜んでいるのは「人間」です。
なぜなら人間がセキュリティポリシーを策定し、人間がシステムの導入を決め、人間が判断、操作をするからです。
これらのことから、従業員のセキュリティ意識やリテラシーの向上が最重要です。
適切な頻度やタイミングで情報セキュリティの社内教育を実施し、セキュリティリスクに強い企業を目指しましょう。