セキュリティ教育とは？従業員のセキュリティリテラシーを高める方法

セキュリティ対策で重要な施策は、情報システムの技術面の対策だけではありません。サイバー攻撃が増加・巧妙化するなか、対策として欠かせないのが、従業員に対して行う情報セキュリティ教育です。全従業員に対してセキュリティ意識を高める効果的な施策とは、どのようなものなのでしょうか。この記事では、セキュリティ教育で従業員のセキュリティリテラシーを高める方法をご紹介します。

セキュリティ教育とは、従業員のセキュリティリテラシーを高めるための教育全般です。セキュリティ教育を受ける対象は、情報システム部門の担当者だけでなく、経営部門も含む全社員です。基本的には、組織における情報セキュリティ対策の方針や行動指針である「情報セキュリティポリシー」に基づいた行動をとることを目指します。

セキュリティ教育はなぜ重要なのか

セキュリティ教育が重要となっている背景には、IT化が進むにつれて企業の情報システムがサイバー攻撃の脅威にさらされやすくなっていることがあります。

2022年（令和4年）中に警察庁に報告されたランサムウェアによる被害件数は230件、前年比で57.5％増加となっています。被害件数は2020年（令和2年）下半期以降、右肩上がりに増加している状況です。

参考：令和4年におけるサイバー空間をめぐる脅威の情勢等について｜警察庁
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf

サイバー攻撃のなかには、標的型メールの開封やID/パスワードの不適切な管理など、従業員の不注意に端を発するものもあります。ランサムウェアや不正アクセスの被害を受けないためには、情報システムへのセキュリティ対策に加えて、従業員のセキュリティ意識の向上も重要な施策となります。

セキュリティ教育といっても、方針・指針を伝えたり資料を渡したりするだけでは、従業員はリアルな危機感をもてず、組織の情報セキュリティポリシーに則った行動は実現できないでしょう。
社員全員に効果的にポリシーを根付かせるには、研修やペーパーテスト、訓練といったセキュリティ教育を取り入れることが重要です。たとえばこのような取り組みがあります。

情報セキュリティポリシーへの意識向上

情報セキュリティポリシーを従業員に配布し従業員が熟読した後、情報セキュリティに関する同意書へのサインを求めることで、意識の向上を促します。

情報セキュリティに関する同意書の中身は、たとえば下記のような事項が挙げられます。
・情報は目的の範囲内でのみ利用し、範囲外の利用は一切行わない。
・情報漏えいしない。
・ID・パスワード等を自分の責任で管理する。
ほか

同意書へのサインは、軽率な行動を踏みとどまらせる一定の抑止力となるでしょう。もし同意書に違反するようなことがあった場合に、罰則規定を設けるという方法もあります。

集合型研修・eラーニングの受講

情報セキュリティに関する研修を受講する方法もあります。

集合型研修・eラーニングなどの種類がありますが、特にeラーニングはオンラインで動画コンテンツを見て、時間と場所を選ばず学べるという利点があります。研修を主催する側としても、集合型研修のように日時や場所、講師などの調整が不要となるため、利便性が高い研修を企画できるでしょう。
従業員が講義を受ける間、研修の主催者は受講状況を確認し、研修の進捗を把握することが可能です。

ペーパーテストやアンケートの実施

講習や研修が終了した後にペーパーテストやアンケートを実施することで、受講者の理解度や講習の効果測定が可能です。また時間が経過してもポリシーが定着しているかをチェックできるよう、定期的にテストを行う方針が望ましいでしょう。

経済産業省が公表している「個人情報の適正な保護に関する取組実践事例調査」では、受講者の理解度を高めるための施策として、下記のような取り組みを紹介しています。

＜例＞
『・年に6回テストを開催し、不合格者には補講・再試を実施している
・テスト結果、監査結果などを人事評価制度、昇格・昇級に反映し実効性を確保
・毎月コンプライアンスについて勉強会を実施。3ヶ月に 1度習熟度をチェック』
（平成２５年度「個人情報の適正な保護に関する取組実践事例調査」報告書Ⅰ-Ⅱ-（2）従業者等への教育方法｜経済産業省
https://www.meti.go.jp/policy/it_policy/privacy/1-2-4-2.pdf）

実技試験・演習の実施

製造現場やプラントなど、産業システム分野のセキュリティ教育には、疑似的な環境を使用した演習が有効です。最新のセキュリティインシデントをベースにして演習内容を作成すると、より効果が得られます。

次に実際の研修や取り組みのポイントをご紹介します。

いくつかの企業で、情報保護の重要性や情報漏えいのリスクを学ぶ個人情報保護研修がサービスとして提供されています。研修で行われる内容は、個人情報保護の基本や事例の講義、ペーパーテストの実施などです。
外部サービスではなく、研修を行う場合には、個人情報保護協会や独立行政法人 情報処理推進機構（IPA）の資料が参考になります。

参考：研修資料等 ｜個人情報保護委員会
https://www.ppc.go.jp/legal/kensyuushiryou/

教育・学習（企業・組織向け）｜ここからセキュリティ！ 情報セキュリティ・ポータルサイト｜独立行政法人 情報処理推進機構（IPA）
https://www.ipa.go.jp/security/kokokara/study/company.html

標的型攻撃を防ぐため、社員を対象に疑似的な標的型メールを送付するという訓練もあります。
メールの開封を行わないこと、上司や情報システム部門など適切な人・部署への報告を行えるかどうかが訓練のポイントです。訓練が終わった後は、訓練メールを開封した割合である「開封率」や、メール内のURLやフォームをクリックした割合、適切な部署への「報告率」を可視化することで、社員の理解度と訓練の効果を評価できます。

標的型攻撃メール訓練について、詳しくは下記記事をご参照ください。

参考コラム：標的型攻撃メール訓練の効果を最大化するには？効果的な実施方法をご紹介

ISMS(情報セキュリティマネジメントシステム）の研修を受ける方法もあります。「ISO/IEC 27001は、情報セキュリティに関する規格で、この規格を有する組織は情報セキュリティの体制が一定の水準で整備されていると認められるものです。
ISMS認証の要件としては、従業員が情報セキュリティに関する知識・知能を十分に備えていることが含まれています。

ISMSでは情報セキュリティの体制を整え、目標達成に向けた施策を実施してアウトプットを評価し、改善を繰り返していく……という、いわゆるPDCAによるアプローチを定めています。ISMSの研修を受けるとPDCAを回す方法や、継続的な改善の重要性を学べるでしょう。

実際にセキュリティインシデントが発生した際の、初動対応を訓練する方法もあります。
インシデントが発生したときにどのように行動するべきか洗い出せば、体制の構築や必要な準備事項の見直しができ、対応マニュアルをよりブラッシュアップできます。疑似的な業務環境での訓練を通して、インシデント発生時に備えることも可能です。

アクセリアでは、様々なサイバーセキュリティ対策を支援しています。
模擬プラントを用いたテスト検証、攻撃防御のデモ、最新のサイバー攻撃情報の調査・分析等のセキュリティ教育を、セキュリティスペシャリストがサポート。ITだけでなくOTも含めたマルチレイヤーに対応し、現場目線でのセキュリティ対策を提供しています。

キュリティ対策やセキュリティ教育の導入をご希望の方は、ぜひアクセリアにご相談ください。
▶セキュリティ対策を支援する産業サイバーセキュリティ事業