DX推進によってデジタル化やIT化が進むことで、サイバー攻撃の標的が増えてしまい、結果的にリスクや脅威に遭遇する可能性が高まっています。不要な被害を防ぐためにも、情報システム部やセキュリティ担当だけでなく、全従業員に向けた情報セキュリティ教育が必要です。
今回は情報セキュリティ教育に関する基礎知識、そしてセキュリティリテラシーを向上するための基盤や考え方についてお話します。

情報セキュリティ教育に関する基礎知識

はじめに情報セキュリティ教育に関する基礎知識について簡単に説明します。

情報セキュリティ教育とは

情報セキュリティ教育とは、セキュリティを意識して情報技術を利用できるようにする教育です。また、企業や組織における情報セキュリティポリシーを、従業員がしっかりと守れるように教育し、ルールに則って作業や業務を行わせることとも言えます。
情報セキュリティポリシーとは企業や組織における情報の機密性・完全性・可用性を保つために策定するものでもあるため、従業員に守ってもらえなければ、セキュリティ性が確保できません。そのため、情報セキュリティ教育によって情報セキュリティポリシーへの理解を深めてもらうこと、かつ作業や業務へ反映してもらうことが求められるのです。

情報セキュリティ教育の必要性と重要性

今の時代、ほとんどのデバイスがオンライン、もしくはオンラインに接続できるデバイスを個人が所有しています。そのため、いつでも、どこからでも悪意のある第三者やサイバー攻撃に狙われてしまう可能性が高まりました。
また、外部からのサイバー攻撃だけでなく、内部不正というリスク・脅威も存在しています。さまざまなリスク・脅威から企業や組織、そして従業員自身を守るために、情報セキュリティ教育が必要であり、重要であることは明白です。

情報セキュリティ教育が進みにくい理由

情報セキュリティ教育が進みにくい理由は「セキュリティ基盤がない」「経営側、管理側のセキュリティに関する知見・ノウハウがない」ことが原因です。また、急激に進むDX推進において、最適化や効率化、自動化に関する技術には投資するものの、セキュリティへの投資が甘いのも理由と言えるでしょう。
IT系の企業や組織であれば別ですが、一般的なサービス業、小売、物流など、そもそもITやセキュリティに縁遠い業界や業種であれば「セキュリティよりも他に投資すべきことがある」のも事実です。極端なことを言えば、本業や主となる業務に投資するのがごくごく自然であること、セキュリティ自体が利益や売上を生み出すようには感じられないことも情報セキュリティ教育が進みにくい理由です。

前提としてセキュリティ人材が枯渇していることも理解すべき

業界や業種によっては、情報セキュリティ教育どころか、情報システム部が設置されていない、セキュリティ担当が不在なこともあるでしょう。そのため、本業や主となる業務に必要な人員とは別にIT人材やセキュリティ人材が求められるようになりました。結果としてセキュリティ人材が枯渇してしまい、セキュリティ基盤を整えることすらままならないのです。
DXの推進もしなければならない、セキュリティも確保しなければならない、しかし、ITやセキュリティに関する人材が枯渇しているとなれば、情報セキュリティ教育ができないのも仕方がないと言えます。
企業や組織としてセキュリティに関する課題や問題を解決するためにも、情報セキュリティ教育およびセキュリティリテラシーを向上するための基盤を構築することが求められます。

セキュリティリテラシーを向上するための基盤や考え方

次にセキュリティリテラシーを向上するための基盤や考え方について解説します。

情報セキュリティ教育の基盤としてIT資産管理と情報資産管理の導入を

大前提として、情報セキュリティ教育の基盤となるIT資産管理と情報資産管理の導入を行いましょう。セキュリティ基盤が整うだけでなく、従業員に守ってもらうべきセキュリティの範囲を狭くできるのが理由です。
IT資産管理によって物理的なデバイスを管理し、情報資産管理によってデータの管理を行えるようになれば、ITやセキュリティに縁遠い業界、業種であってもセキュリティ性を高めることにつながります。

情報システム部の設置やセキュリティ担当の配置やセキュリティへの投資

情報システム部の設置やセキュリティ担当の配置も忘れてはなりません。すぐにIT人材やセキュリティ人材の雇用や育成が難しい場合においても、管理職や少しでもITに詳しい従業員を集めて、セキュリティ体制を整えるべきです。
同時に、今の時代はセキュリティ＝企業や組織の信頼でもありますので、セキュリティに対する投資にも注力しましょう。セキュリティに対する投資へのリターンは信頼であると理解すること、セキュリティを軽視しないことをおすすめします。

OJTではなく、マニュアル化や情報共有する仕組みを準備

情報セキュリティ教育は口頭やその場での指示で終わらせることなく、マニュアル化や情報共有できる仕組みで運用しましょう。業務や作業の流れの中で、どのようなセキュリティリスクがあるのか、どのようなサイバー攻撃があるのか事例を集めたり、事例への対策を蓄積したりするなど、セキュリティに関するノウハウを集めることが大切です。
同時に、属人化やブラックボックス化など、特定の個人、担当しか理解していないような状況にならないように注意してください。担当が退職してセキュリティのことがよくわからない、どのように設定や対応をしていたか不明だとなれば、セキュリティリスクが増加してしまうことになるからです。

定期的なテストなど、理解度を把握・精査することも重要

必要に応じて、情報セキュリティポリシーや社内や組織内で定めたセキュリティルールに関するテストを行うのも良いでしょう。定期的なテストによって理解度を把握し、精査することで現時点におけるセキュリティリテラシーの向上度を効果測定するという意味でもあります。
また、理解度に応じて管理する側がどの箇所のセキュリティを強化すべきかも常に検討しましょう。従業員側にセキュリティを丸投げすることなく、従業員が作業や業務に専念できる環境を提供すべきと覚えておいてください。

業務や作業におけるセキュリティ対策を重視すべき

業務や作業におけるセキュリティ対策とは、日々の流れの中でセキュリティリスクとなる箇所はないか、アナログなやり方のままで、デジタルやオンラインでは危険な行為はないかを把握、改善することを意味します。
簡単なもので言えば、安易にメールの添付ファイルを開いていないか、勝手にウイルス対策ソフトをオフにしていないか、USBメモリにファイルやデータを入れて持ち帰っていないかなど、今までであれば当たり前だった部分を改善していくことを重視してください。

管理する側がセキュリティリスクを把握することも忘れずに

管理する側がさまざまなサイバー攻撃、手法、手口など、セキュリティリスクを把握することも忘れてはいけません。知らなかった、わからなかったでは済まないことを理解し、常に最新の情報から、既知の問題、課題においても情報収集を行ってください。
その上でどのような対策をすべきなのか、対策しきれていない箇所はないかを精査し、少しずつでもセキュリティを強化していくこと、継続的に改善や効果測定を行うことをおすすめします。

まとめ：情報セキュリティ教育を事業活動の一環として取り組もう！