情報セキュリティ教育とは？自社で実践していく場合の手順と注意点

情報セキュリティ教育は、すべての企業が実施すべき取り組みのひとつです。近年は従業員による人的ミスによるセキュリティ事故も多数報告されており、自社でも何らかの対策を講じなければならないと考えている方もいるでしょう。

しかし「そもそも必要性がわからない」といった状況だと、なかなか本気で教育を検討できません。

そこで、情報セキュリティ教育について悩んでいる方のために、必要性や実践する際の手順などを解説します。自社で教育に取り組んでいくにあたり、押さえておきたいポイントや注意点を知りたいと考えている方はぜひご覧ください。

情報セキュリティ教育とは？

情報セキュリティ教育とは、情報セキュリティ事故を防ぐために行う教育のことです。セキュリティ事故とは、以下のようなケースを指します。

【セキュリティ事故の例】

• 個人情報や機密情報などの情報漏えい
• システムやデータへの不正アクセス
• データやWebサイトの改ざん
• ウイルスやスパイウェアへの感染
• 外部からの攻撃によるシステム障害

十分な対策を講じても、防げないセキュリティ事故もあります。

一方で、従業員の知識不足や勘違いなどによって発生するケースも珍しくありません。こういったリスクを防ぐために行われるのが、情報セキュリティ教育です。
一人ひとりのセキュリティ意識とリテラシーを向上させ、事故を未然に防ぎます。

情報セキュリティ教育の必要性

セキュリティ事故を防ぐために、情報セキュリティ教育は欠かせません。セキュリティ事故が発生すると、企業のイメージが低下するだけでなく、取引先や顧客にも多大な影響を与える可能性があります。
信用を失うと、企業の存続が難しくなる可能性があります。

情報セキュリティ教育を実施することで、従業員のセキュリティリテラシー不足によるセキュリティ事故のリスクを抑えられます。
従業員が引き起こすセキュリティ事故の多くは、知識不足が原因です。取り返しのつかない事故を防ぐために、情報セキュリティ教育に取り組みましょう。

情報セキュリティ教育の学習テーマ例

まず、どのような学習テーマで情報セキュリティ教育を実施するかを考える必要があります。ここでは、代表的な学習テーマ例を紹介するので、自社で実施すべきものを検討してみてください。

セキュリティ基礎教育

セキュリティの基礎を学ぶための教育です。どのような形で学習を進めていくにしても、まずは基礎的なところから理解を深めていかなければなりません。

そもそも、なぜセキュリティが大切なのか、個人情報とは何かといった基礎的なところがわからないと、セキュリティ対策の必要性をイメージできないためです。これから情報セキュリティ教育を進めていく中で専門用語も多々登場することになるため、それらに関する基礎も学んでおく必要があります。

一般的には新入社員向けに実施されることが多いですが、従業員全体のセキュリティ意識が低い場合は、全社的な実施も検討すべきです。

個人情報の扱い方

企業にとって大きな問題になりやすいのが、個人情報の漏えいです。そのため、情報セキュリティ教育の中では、適切な個人情報の扱い方を学ぶ必要があります。

個人情報保護法や社内の罰則を理解してもらうことが重要です。仮に情報漏えいしてしまった場合はどのようなリスクがあるのかを伝えておくことで、個人情報保護の重要性を理解してもらえるようになるでしょう。

サイバー攻撃の種類や対応策

サイバー攻撃とは、悪意を持ってシステムやネットワークに侵入したり、データなどを破壊したりする行為のことをいいます。

株式会社東京商工リサーチの調査によると、2024年に発生した情報漏えい・紛失事故の原因の中で最も多かったのは、サイバー攻撃による「ウイルス感染・不正アクセス」でした。（※）

サイバー攻撃には、ウイルス感染を含むマルウェア（悪意のあるソフトウェア）攻撃やハッキングなどの不正アクセス、フィッシング詐欺など、様々な種類があります。
サイバー攻撃による被害を防ぐためには、具体的な手口について理解しておかなければなりません。また、被害に遭った場合のリスクや影響を知ることも重要です。

次々と新たなサイバー攻撃が発生しているため、最新情報を学ぶセキュリティ教育が求められます。

（※）

参考：株式会社東京商工リサーチ：2024年上場企業の「個人情報漏えい・紛失」事故　過去最多の189件、漏えい情報は1,586万人分

セキュリティインシデント初動対応研修

セキュリティインシデントとは、セキュリティ上の脅威となる事象のことです。たとえば、マルウェアへの感染、不正アクセス、機密情報の流出などが挙げられます。

これらのトラブルが発生した際に、迅速に対応することが重要です。初期対応が適切であれば、大きな被害を防げる場合があります。

セキュリティインシデント初動対応研修では、必要な知識を学びます。過去にあった事例や想定されるトラブルからシミュレーション形式で学べるものだと、実際に同様のトラブルが起こった際に慌てずに対処できるようになります。トラブルごとにマニュアルを作成しておくことも有効です。

公衆無線LANの危険性

公衆無線LANは、フリーWi-Fiとも呼ばれます。非常に便利ですが、安全性が確保されていない公衆無線LANも存在します。

たとえば、テレワーク形式で働いている方の中には、自宅ではなくカフェなどでネットワークに接続して業務データにアクセスする機会もあるのではないでしょうか。このときに危険性の高い公衆無線LANを利用してしまうと、そこから不正アクセスにつながってしまう恐れがあります。

「公衆無線LANは、ただ便利なサービス」程度の認識しかないとその危険性に気づけません。情報セキュリティ教育を通じて、正しい知識を身につけさせましょう。

自社におけるセキュリティのルール

各企業でセキュリティに関するルールを定めていることもあるでしょう。ただ、ルールとして定めていたとしても、それが従業員に理解されていなければ守られない恐れがあります。

自社で取り決めているセキュリティのルールに関しては、すべての従業員が学ぶようにしましょう。全従業員が確実に自社におけるセキュリティのルールを学ぶ機会を作っておかないと、何かトラブルがあった際に「知らなかった」と言い逃れされてしまう恐れもあります。

変化する犯罪の手口に合わせて社内ルールを変更することもあるはずです。このような場合、変更のたびに従業員へ周知する取り組みが求められます。

標的型攻撃メールに対する啓蒙

標的型攻撃メールは、不特定多数に送られる迷惑メールとは異なり、特定の個人や組織を狙って送信されるものです。メールを開いたり、メール内のURLにアクセスしたりした場合などにウイルスに感染します。

厄介なことに、受け取ったメールが標的型攻撃メールであることに気づくのは簡単ではありません。普段よくやりとりする人の名前を使い、さらにはメールアドレスも本人のものに偽装してメールが送られてくることもあります。
そのため、そのメールを通じてウイルスに感染すると、気づきにくく被害が広がりやすい特徴があります。

感染者が気づかずにウイルスをばらまいてしまう恐れもあるので、事前に情報セキュリティ教育を受け、どのような手口が多いのかを理解してもらうことが重要です。

情報セキュリティ教育を行う手順

情報セキュリティ教育を実施する際の手順を確認しましょう。一般的な流れは以下の通りです。

手順①テーマの設定

はじめに、テーマの設定を行いましょう。情報セキュリティ全般についてまとめて教育するのではなく、細かくテーマを設定してひとつずつ学んでいく方が効率的といえます。

【テーマの一例】

• 近年のサイバー攻撃発生状況
• 主なサイバー攻撃の種類と事例
• 個人情報の安全な取り扱い方
• ログイン情報を適切に管理する方法

他にも多くのテーマがあります。自社に必要なテーマを検討しましょう。
また、早い段階で、今後どのようなテーマを指導するのかを伝えておくとよいでしょう。

手順②対象者の選定

指導対象となる従業員を選定していきます。役割によって押さえておかなければならない知識は異なるので、テーマの内容によっては、全従業員を対象とする必要がない場合もあります。
反対に、全従業員が理解しておかなければならない情報セキュリティ教育も存在します。

対象者を選定する際は、そのテーマについて正しく理解しておかなければならない人全員を対象とするとよいでしょう。場合によっては自社の従業員のほか、契約社員や外部委託先の社員を対象とすることもあります。

手順③実施時期と頻度の選定

教育を実施するタイミングを決め、それに合わせてスケジュールを組みましょう。

たとえば、毎年1回や毎月1回の実施が考えられます。また、同業他社でセキュリティ事故が発生した際や、社内ルールが変更された際に実施することもあります。

サイバー攻撃の手口や必要なセキュリティ対策は次々と新しくなるため、 最新情報を定期的に共有することが重要です。実施時期や頻度についてあらかじめ決めておかないと後回しになる可能性もあるため、注意しましょう。

手順④教材の準備

情報セキュリティ教育の指導に必要な教材を準備していきます。情報セキュリティ指導の担当者が1人で教材を準備すると、負担が集中するため注意が必要です。

Web上の情報などを参考にして一から担当者が作る方法もありますが、難しい場合は販売されている教材を購入するのもおすすめです。ただし、その際は古い情報で作られた教材でないか確認しておきましょう。
過去に実践していた脅威への対策では、 現在は通用しない可能性があります。また、テーマに適した教材を選ぶことも重要です。

手順⑤実施方法の決定

情報セキュリティ教育の実施方法を検討・決定します。

代表的な方法として挙げられるのは、社内研修やe-ラーニング、外部セミナーなどです。担当者の負担は大きくなりますが、自由な指導をしやすい方法を選びたい場合は社内研修が向いているでしょう。

社内にない知識やノウハウを習得するには、外部セミナーが有効です。
ネット環境が必要ですが、個人で学習しやすいe-ラーニングを選択するのも一案です。

手順⑥実施後の効果測定

情報セキュリティ教育を行ったあとは、忘れずに効果測定が必要です。実施した方法に合わせて、どの程度従業員が理解したのかを調べる効果測定を行いましょう。

たとえば、指導内容の理解度を確認するテストや、インシデント発生数の調査などの方法があります。他にも、指導を受けた従業員に対してインタビューやアンケートを取って効果を調べる方法も効果的です。

効果測定を行わないと、実施した教育が本当に役立つものだったのか判断できません。テーマごとの指導が終了するたびに効果測定で確認するとよいでしょう。

手順⑦教育実施記録の保管

教育実施記録は、今後の情報セキュリティ教育の計画に役立つため、保管しておきましょう。

効果測定の結果、期待した効果が得られなかった場合は、次回の改善に役立ちます。また、情報セキュリティ教育は定期的に実施するため、具体的な手順をマニュアル化することを推奨します。

情報セキュリティ教育を行う際の注意点

情報セキュリティ教育を行う際は、定期的な内容の更新と経営層への実施の2点に注意が必要です。それぞれ解説します。

注意点①定期的に更新する

行う情報セキュリティ教育プログラムの内容は、定期的に更新しましょう。
情報セキュリティに関する脅威や手口は日々変化しているためです。 手口が変わると、必要な知識も変わります。

教材を使用する場合は、最新の情報が掲載されたものを選びましょう。
従業員は情報セキュリティ教育で学んだことをもとにして対応するため、古い情報を参考にしてしまうと脅威に対抗できません。

注意点②経営層にも実施する

経営層に対しても情報セキュリティ教育を行うようにしましょう。従業員が情報セキュリティの重要性を理解していたとしても、経営層が理解していなければ情報事故のリスクを抑えられないからです。

経営層は、従業員よりも重要な情報を扱う機会が多く、より強くセキュリティを意識する必要があります。情報セキュリティに関する知識が不足していたために経営層が情報事故を引き起こすと、深刻な影響を及ぼします。

また、経営層が情報セキュリティを正しく理解し、積極的に取り組む姿勢を示すことで、従業員もその重要性を認識しやすくなります。

情報セキュリティ教育は非常に重要

情報セキュリティ教育の概要や実践方法を紹介しました。ポイントや注意点を押さえることで、より効果的な教育が可能になります。

情報漏えいやトラブルを防ぐため、従業員を適切に指導する必要があります。

指導マニュアルや、トラブル発生時の対応マニュアルを作成するのも有効です。
フィンテックスでは、各種マニュアルの作成やマニュアルツールの導入支援を行っています。使いやすく実際に活用されるマニュアル作りを得意としているため、ぜひご相談ください。

つい読んでしまうマニュアル作成のリーディングカンパニー、株式会社フィンテックス

監修者

中丸 貴仁

企画営業部 営業本部長 / 経営学修士（MBA）

＜略歴＞

フィンテックスにて、マニュアル作成に関する様々な顧客課題解決に従事。 金融系からエンターテインメント系まで様々な経験から幅広い業務知識を得て、「分かりやすいマニュアル」のあるべき姿を提示。500社以上のマニュアル作成に携わる。また、複数の大企業でマニュアル作成プロジェクトの外部マネージャーを兼務している。 趣味は茶道。
月刊エコノミスト・ビジネスクロニクルで取材していただきました。ぜひご覧ください。
https://business-chronicle.com/person/fintecs.php