セキュリティホールは従業員!?これからの時代に必要な"セキュリティ教育"

現在、さまざまなセキュリティ対策ツールが流通していますが、それでも情報漏洩事件や事故は後を絶ちません。なかでも従業員のセキュリティ意識の低さがセキュリティホールとなり、事件が起こるケースが多くなっています。情報漏洩を防止できるツール導入に合わせて、セキュリティ教育を定期的におこない意識改革をはかりましょう。
今回は、社内で実施すべきセキュリティ教育について解説します。

目次・なぜセキュリティ教育が必要なのか
・セキュリティ教育方法について
 　1. 企業内研修の実施
 　2. 標的型メール訓練
　3. PCやUSBメモリ使用状況の監視、注意喚起
 　4. ITの資格取得を支援
 ・まとめ

なぜセキュリティ教育が必要なのか

NPO日本ネットワークセキュリティ協会（JNSA）が発表した「【速報版】2018年情報セキュリティインシデントに関する調査報告書」によると、セキュリティインシデントの原因は、紛失・置忘れ、誤操作、不正アクセス、管理ミス、不正な情報持ち出しなどに分類されます。サイバー攻撃による不正アクセスのニュースはよく耳にしますが、この調査によると実際のインシデントとしては従業員によるミス（ヒューマンエラー）が約76％を占めていることがわかります。
悪意が無いミスであっても、情報漏洩が起こってしまうと取引先との業務停止や損害賠償金の支払いなどが発生し多大な影響を受ける可能性があります。

「【速報版】2018年情報セキュリティインシデントに関する調査報告書」を加工して作成

また最近ではSNSの影響力が大きくなっており、従業員がSNSを使って顧客情報や企業秘密などを不適切に流出し、炎上するケースもよく目にするようになりました。ひとたび炎上してしまうと、従業員個人の問題に留まらず、企業の社会的責任が追及されイメージダウンにもつながってしまいます。

このようなインシデントは、セキュリティ対策などのツールを導入していても100%防ぐことは難しいです。ヒューマンエラーの発生を防ぐためには、従業員一人一人の情報セキュリティ意識を向上させる必要があります。自社のポリシーに沿った適切な社員教育をおこないましょう。

セキュリティ教育方法について

JNSA発表の「2018年度国内情報セキュリティ市場調査」によると情報セキュリティ教育にかけるコストは年々拡大しており、各企業での対応も進んでいることがわかっています。教育方法は企業によってさまざまですが、ここでは4つの方法をご紹介します。

1.企業内研修の実施

外部講師や自社の情報システム担当者などによる研修を定期的に実施し、何故セキュリティが大事なのか、気をつけなければいけないことは何かなど基礎的な知識を身につけましょう。
研修方法として、いつでもどこでも教育が受けられるということからeラーニングサービスの活用も進んでいます。
また、働き方改革の一環としてテレワークの導入も進んでおり、持ち出しPCの紛失や置き忘れのリスクも高まっています。従業員には紛失してしまった際のリスクを啓蒙に加え、紛失時のセキュリティ対策を施す必要があります。
●テレワークのセキュリティ対策についてはこちら

2.標的型メール訓練

2020年東京オリンピック開催を控え、標的型メールを含むサイバー攻撃の増加が予想されます。巧妙化する標的型メールへの対策として、攻撃を受けた想定でどのように対処するか訓練できるサービスの提供も増えてきました。
防災訓練と同様に、災害が起きた時にどのように行動するかを体験することが重要です。実際に体験することで、身についたセキュリティ知識をインシデント時の対応に結び付けることができます。

3.PCやUSBメモリ使用状況の監視、注意喚起

業務に関係のないWebサイトの閲覧やUSBメモリなどを使った情報持ち出しによって、情報漏洩が起こることも考えられます。
不正な操作を制限することはもちろん有効ですが、それだけでは従業員のセキュリティ意識は変えられません。ログを取得することでPCの使用状況を監視し、それをあらかじめ従業員に周知しましょう。定期的にWebサイト閲覧の違反状況や社内でのウィルス検知数などを開示することで、社内ルールの徹底させたり、禁止行為を理解させることができます。
実際にこの運用をおこなった企業では、禁止行為が約70%低下したという報告もあります。

（画像はIT資産管理ソフト「SS1」のWeb閲覧ログ画面イメージ）

4.ITの資格取得を支援

従業員のITリテラシー向上を目的とした教育・研修の一環で、独立行政法人情報処理推進機構（IPA）の「ITパスポート試験（iパス）」や「情報セキュリティマネジメント試験」の受験を推奨する企業が増えています。国家資格取得を目指し自ら学習することで、セキュリティやITに関する基礎的な知識が身につきます。
iパスに合格することを昇給の条件にしたり、合格者には表彰金を支給するなどして意識向上を図りましょう。資格取得を会社が支援することで従業員のモチベーションも上がり、積極的に学習に取り組むようになった事例もあります。
●セキュリティ人材育成は必須！「情報セキュリティマネジメント試験」のススメはこちら

まとめ

セキュリティ教育の4つの方法をご紹介いたしました。これらは人事、総務、情報システム担当に加え経営層も巻き込み全社的に取り組む必要があります。
少子高齢化が進み人材不足が叫ばれる現代、業務効率化のためにもITの活用が加速していきます。そのなかで情報漏洩を防ぐためには、従業員一人一人にセキュリティ対策の重要性を理解してもらうことが最も重要です。そのために、まずは各部署の担当者で認識合わせをおこないましょう。
自社のセキュリティ対策に不安がある方は、セキュリティ対策ツールの導入に合わせてセキュリティ教育にも力を入れてみてください。

【TOPICS】「SS1 Risk Analyzer」でセキュリティリスクを事前に検知！

「SS1 Risk Analyzer」は、IT資産管理ソフト「SS1」で取得したログを独自の分析システムとアナリストによる再分析で、ログの取得だけでは発見できない「人」に潜むリスクを検知し、改善を促すことができます。
不審な操作ログを行動パターンから発見し、「退職時の情報持ち出し」「権限外社員による機密文書の探索・不正コピー」「勤務時間外労働の増加」など、情報漏洩の兆候や社員のメンタルヘルスの異常を未然に察知します。ログの活用や社員のセキュリティ意識向上の施策をご検討の方はぜひお問い合わせください。