年々複雑化していく情報社会のなかで、IT技術も日進月歩で進化し続け、企業情報のセキュリティ管理はよりシビアなものが求められています。
ひとりのミスが組織全体のミスにつながり、大きな損失につながる可能性もあるため、情報セキュリティについて経営陣や管理部門だけでなく、個々人がしっかりと理解したうえで組織として強化することが重要でしょう。
今回は情報セキュリティとはどのようなものなのか、詳しく解説します。
情報セキュリティとは
情報セキュリティとは、「機密性・完全性・可用性」という3大原則のもと、情報資産を安全かつ正常に活用できる環境を維持すること。
たとえば、ウイルス感染による、データやシステムに影響する不具合、不正侵入によるデータの流失(情報漏えい)や破損、災害などによる機器障害など、企業が保持する大切な個人情報やデータは、さまざまな危険にさらされています。
情報セキュリティを強化することで、これらのリスクから会社を守る必要があるのです。
情報セキュリティ教育の重要性・目的
情報資産をさまざまな危険から守るために、オペレーション、システム、人のそれぞれを強化することが大切です。また、情報セキュリティを考える際は、DX(デジタルトランスフォーメーション)推進も同時に考える必要があります。
DXは「ITの浸透で、人々の生活をあらゆる面でよりよい方向に変化させる」というエリック・ストルターマン氏の考えをもとに、日常のさまざまな活動をデジタル化すること。
そして、日々蓄積されていく膨大なデジタルデータを分析・改善を繰り返してそのデータを活用しながらビジネスモデルを進化させていきます。
DXの推進と情報セキュリティは、それぞれオペレーションやシステムだけ対策をすれば済む話ではなく、それを扱う人間も情報セキュリティの理解がなければ人為的ミスに直結してくるため、情報セキュリティ教育が必要になるのです。
企業の情報セキュリティ事故の事例
情報セキュリティ事故が起きる原因を知り、情報資産を守る手立てを考えましょう。情報セキュリティ事故を引き起こす企業内外の要因を紹介します。
不正アクセス
不正アクセスとは、本来アクセス権を持たない第三者が、なんらかの方法でIDやスワードを入手する、システムの脆弱性を突くなど、さまざまな手口のもと悪意をもって社内のシステムに不正に侵入する行為のこと。
不正アクセスが発生すると、システム障害や企業が運営するサイトの改ざん、情報漏えいなどが起きる恐れもあります。インターネットを利用する企業はすべて、不正アクセスを受ける可能性を想定して情報セキュリティ対策に取り組まなくてはいけません。
内部不正による情報漏えい
内部不正による情報漏えいは、社員や関係者の行為により発生します。たとえば、以下の行為をさせないよう社員を教育しましょう。
- USBメモリーやパソコンなどの紛失
- メールの宛先入力ミスによる誤送信
- フィッシングメールをはじめとする、悪意あるメールの開封
- 機密資料の無断持ち出し
社内のルールが曖昧だと、資料の持ち出しや外部関係者との情報の取り扱いなどで、内部不正による情報漏えいが発生しやすくなります。
無自覚にした行為でも、情報漏えいにつながります。社員教育を実施して、情報資産を危険にさらす行為をしっかり伝えなくてはいけません。
標的型攻撃
標的型攻撃とは、機密情報を盗むことを目的として特定の組織を狙った行動のこと。標的型攻撃では、ウイルスつきメール(標的型攻撃メール)がターゲットに送信されます。
標的型攻撃を企てる相手は、念入りにターゲットを調査したうえで犯行を企てます。取引先の関係者名や商品名を盛り込んだり、実際に進行中の業務を匂わせたりして文面を練るため、ついメールを開封してしまう人があとを絶ちません。
ウイルスつきメール以外では、システムの脆弱な部分を見つけられて攻撃を受ける場合もあります。
ランサムウエア
ランサムウエアは、マルウエアの一種で、感染させたシステム上のファイルを暗号化して、使用不可能な状態にします。
ランサム(Ransom)を直訳すると「身代金」。ランサムウエアは、制限を解除できなければシステムを利用できず、企業活動が停滞するでしょう。
サイバー攻撃を企てた側は、制限を解除したければ身代金(金銭)を支払うようにターゲットに要求します。しかし、身代金を支払っても、制限が解除されるとは限りません。システムや情報資産が危険にさらされたまま、金銭的被害が発生する場合もあります。
情報セキュリティ教育のポイント
情報セキュリティを強化するには、どのような点に注意すればよいのでしょうか?情報セキュリティ教育を行ううえで重要になってくるのが、「情報セキュリティ・ポリシーの周知徹底」と各々の社員が「情報セキュリティの脅威を知り対策を考える」ことです。
情報セキュリティポリシーの周知徹底を図る
強固な組織形成をするのに、情報セキュリティの強化は重要です。そのためには、まず情報セキュリティ・ポリシーを周知徹底することが大切でしょう。
情報セキュリティ・ポリシーとは「システム・組織またはそのエンティティ(実態・存在・実在・本質・本体などの意味を持つこと)」で保護する定義のこと。情報セキュリティ教育では、具体的には以下のようなことが大切だと考えられています。
①役割と責務の確認の徹底
まず組織のなかで各々の役割と責務をしっかりと認識し、どのようにすべきかをすべての者が理解できているのか確認します。もし、理解の相違や実行できていない場合は行動の徹底を教育していきましょう。
②個人情報の取り扱いおよび安全性確保の確認徹底
組織が取り扱う情報にもさまざまな種類があります。それらをランク別にわけた場合、どこまでの機密性が必要なのか、取り扱い時の注意管理をどこまで求められているのか、確認が必要です。教育時には確認と同時に取り扱いについての理解を徹底しましょう。
③違反者に対しての罰則やイレギュラー時対応ルール
情報取り扱い管理は社内管理が原則です。しかし、外部に委託する場合や社外に持ち出して作業する場合もあるでしょう。とくに焦点となるのが、PCの社外持ち出しです。この場合どのようにして取り扱うのか、正式な手続きを取らなかった違反者への罰則など明確なルールの周知が重要となります。
情報セキュリティの脅威を知り対策を考える
どれだけ情報セキュリティの大切さを伝えても、各々が情報セキュリティ・ポリシーを守ることの大切さと、守らなかった場合どのような危険が起こるのかを知らなければ意味がありません。
情報セキュリティ教育を浸透させるためには、その脅威を自分ごと化して考え、対策してもらうことが重要です。
①脅威と被害を知ることで危機管理を持たせる
ウイルスやスパム詐欺などインターネット上の脅威と発生している危険事例を伝えます。それによって企業が受ける損害・損失はもちろん、信頼性を失うとどうなるか、同業他社の事例を用いて教育し、危機管理を強くします。
②対策や心構えを教育する
脅威と被害を知れば、未然にその危険を回避するチャンスを得られます。なぜそのような問題が起きたのか事例を精査し、未然に防ぐ対策と心構えを指導すると、情報セキュリティ教育をする意味につながるのです。
③緊急時の連絡方法と対処方法はスピーディーに
どれだけ技術が進歩しても、ミスやトラブルは起きてしまうもの。インターネット上のウイルスや詐欺は年々複雑化しているため情報の脆弱性やウイルス被害情報を知ったらすぐに社内メールで注意喚起する必要があります。
情報セキュリティ教育における注意点
セキュリティにおける犯罪の手口は、時代とともに変化しています。つねに最新の情報を入手して継続的な教育を実施しなければ、情報セキュリティ事故を防げません。
毎年4月に実施する、四半期に1度のタイミングで実施するなど、情報セキュリティ教育が継続されるようあらかじめスケジュールに組み込んでおきましょう。研修内容は、最新の情報を取り入れて都度ブラッシュアップしてください。
また、自社または同業他社で事故が起きた際は注意喚起し、社員のセキュリティ意識を高めましょう。
情報セキュリティ教育で活用できる資料
情報セキュリティ教育で活用できる資料を紹介します。毎年情報が更新される資料もあるため、最新の犯罪の手口や被害状況、対策や心構えなどの教育に役立てましょう。
情報セキュリティ10大脅威(IPA)
IPAがまとめている資料です。毎年内容が更新されるため、最新情報の理解に役立ちます。
資料では、情報セキュリティにおける多様な脅威が、組織と個人ごとにランキング形式で紹介されています。組織でどのような事故が起きやすいかを確認したうえで、「情報セキュリティ対策の基本と共通対策」も参考にして、対策や心構えの教育に役立てましょう。
ほかにもIPAは「情報セキュリティ白書」を毎年発行しています。資料では、情報セキュリティに関する国内外の政策や脅威、情報セキュリティ事故の事例、その年を象徴する話題などが取り上げられています。
情報セキュリティ10大脅威|IPA
情報セキュリティ白書|IPA
情報セキュリティハンドブック(NISC)
セキュリティ担当者の配置が難しい企業や、これからセキュリティ強化に取り組む企業に向け、サイバーセキュリティをわかりやすく解説している資料です。
情報セキュリティハンドブックは、資料の一部を抜粋して配布したり、自社独自の研修資料と合体させたりして柔軟に活用できます。
新入社員等研修向け情報セキュリティマニュアル(JPCERT CC)
新入社員をはじめとする、情報セキュリティになじみがない人の教育を想定した資料です。
資料には、教育のガイドラインや、教育のベースとなる情報がまとめてあります。補助資料としてかんたんなセキュリティクイズも用意されています。社員の情報セキュリティへの興味関心を高めて、教育効果を高めましょう。
新入社員等研修向け情報セキュリティマニュアル|JPCERT CC
社内研修実施の適切なタイミング
社内研修の実施タイミングは企業規模や業種、教育状況により異なります。情報セキュリティの問題は、普段の業務のなかでひんぱんに起こるものではなく、突然起きることが多いもの。
そのため、各社員に危機感を持たせることが難しい課題ともされています。しかしその多くは理解不足や管理の甘さがほとんどのため、情報セキュリティ教育は社内研修を行うのが最も効果的です。実施タイミングは以下を参考に検討してください。
期研修のタイミング
まずは基本的な定期研修実施日を決めましょう。年に一回、毎月、四半期に一回、新入社員が入ったときに実施されている場合が多いです。社内規模に合わせて決定していきます。
イレギュラー時の実施タイミング
情報セキュリティの社内研修は、定期研修だけで済むものではありません。「社内や同業他社で事故が起きた」「社内ルールが変わった」場合、定期研修では間に合わない可能性もあります。
その内容は即教育を行う必要性があるものなのか、定期研修時の教育で問題ない内容なのか、判断基準を事前に決めておくとよいでしょう。
情報セキュリティ教育の実施手順と内容
情報セキュリティ教育の内容と手順をご紹介します。
情報セキュリティに対する意識の確認と統一
まず第一に、教育を受けるすべての人間が同一の意識になっていなくてはなりません。教育の必要を感じている経営者・管理職と社員すべてが同じ危機管理と学ぶ意識になっているかその差を確認し、教育の目的を統一する必要があります。
情報の管理方法・手順の理解と徹底
情報セキュリティの重要性の認識が同じだからといって安心はできません。必ず情報管理の方法、手順は取り扱う人すべてが同じになっていなければならないからです。
効率がよいから・面倒だからといった勝手な理由で決められたルールではなく、独自のやり方で進めてしまう人も稀にいます。この確認を怠ってしまうとどれだけ教育しても意味がないのです。
脅威と危険に対する緊張感といった意識強化
いくら事例などを用いて指導しても、日頃から脅威と危険に対する緊張感がなければ、事故やミスはなくなりません。つねにプロ意識を持ち一人ひとりが意識して業務にあたると、人為的ミスも減らせます。
ウイルス対策ソフトやSNSの管理の取り扱い方法の熟知
情報セキュリティ対策でウイルス対策ソフトを使う際、すべての人間が取り扱いおよび活用方法を知っていなければ、正確に取り扱えません。
管理取り扱いは社員すべてが知っておく必要があるのか、管理職またはエンジニアだけが知っていればよいのか確認しましょう。すべての人間が取り扱いできる必要があるときは、理解できるまで徹底して教育を進めます。
情報セキュリティ教育の実施はeラーニングの活用がオススメ
ラーニングは、社員が時間と場所を問わずインターネットを通じてコンテンツにアクセスし、スキルや知識を身につける学習スタイルです。
eラーニングサービスにはさまざまなものがあるので、選ぶ際はコンテンツの豊富さや、同業他者での実績などをチェックしましょう。
また、サービスごとにコンテンツの内容は異なります。自社で強化したい内容に合っているコンテンツを提供できるかも、サービス選びのポイントです。
情報セキュリティ教育には、「manebi eラーニング」がオススメです。manebi eラーニングの概要や、活用するメリットを解説します。
manebi eラーニングとは?
「manebi eラーニング」は、eラーニングやオンライン研修で社員教育を効果的に行えるサービスです。
さまざまな業界で多数の企業が「manebi eラーニング」を導入しており、階層別研修から職種別研修、情報セキュリティ教育をはじめとする専門的な研修まで、多種多様な社員教育に対応できます。
manebi eラーニングを導入するメリット
「manebi eラーニング」には、5,000以上のeラーニング教材があり、そのひとつに、情報セキュリティ教育も含まれています。
自社独自の教材をmanebi eラーニングにアップロードできるので、サービスが提供するコンテンツと併用すると独自の社員教育を計画可能です。
また、「manebi eラーニング」の利用料金は利用IDごとに課されます。リーズナブルにサービスを導入でき、利用ID数が増えるほどIDごとの費用もお得になります。
くわえて「manebi eラーニング」には、受講を催促するメール配信機能も搭載。重要な情報セキュリティ教育を、社員や関係者にしっかり受講してもらいましょう。
企業での情報セキュリティ教育を徹底しよう!
企業は保有する膨大な情報資産を適切に管理し、活用しなくてはなりません。しかし、情報セキュリティ事故が起きると、企業の信頼低下や業績悪化を招いてしまうでしょう。
技術やサイバー攻撃の手法は日々進化しているため、企業とその関係者を守るためには最新情報を反映した定期的な情報セキュリティ教育が必要です。
情報セキュリティ教育ならeラーニングがオススメ。「manebi eラーニング」は情報セキュリティ研修に適したコンテンツを提供するうえ、カスタマーサポートが、企業の目的に合う教育カリキュラムの策定もサポートします。
ぜひ、「manebi eラーニング」を自社での教育にご活用ください。
