情報セキュリティ教育とは? セキュリティリテラシーの向上のために取り組むべきこと

INDEX

    DX推進によってデジタル化やIT化が進むことで、サイバー攻撃の標的が増えてしまい、結果的にリスクや脅威に遭遇する可能性が高まっています。不要な被害を防ぐためにも、情報システム部やセキュリティ担当だけでなく、全従業員に向けた情報セキュリティ教育が必要です。
    今回は情報セキュリティ教育に関する基礎知識、そしてセキュリティリテラシーを向上するための基盤や考え方についてお話します。


    情報セキュリティ教育に関する基礎知識

    はじめに情報セキュリティ教育に関する基礎知識について簡単に説明します。

    情報セキュリティ教育とは

    情報セキュリティ教育とは、セキュリティを意識して情報技術を利用できるようにする教育です。また、企業や組織における情報セキュリティポリシーを、従業員がしっかりと守れるように教育し、ルールに則って作業や業務を行わせることとも言えます。
    情報セキュリティポリシーとは企業や組織における情報の機密性・完全性・可用性を保つために策定するものでもあるため、従業員に守ってもらえなければ、セキュリティ性が確保できません。そのため、情報セキュリティ教育によって情報セキュリティポリシーへの理解を深めてもらうこと、かつ作業や業務へ反映してもらうことが求められるのです。

    情報セキュリティ教育の必要性と重要性

    今の時代、ほとんどのデバイスがオンライン、もしくはオンラインに接続できるデバイスを個人が所有しています。そのため、いつでも、どこからでも悪意のある第三者やサイバー攻撃に狙われてしまう可能性が高まりました。
    また、外部からのサイバー攻撃だけでなく、内部不正というリスク・脅威も存在しています。さまざまなリスク・脅威から企業や組織、そして従業員自身を守るために、情報セキュリティ教育が必要であり、重要であることは明白です。

    情報セキュリティ教育が進みにくい理由

    情報セキュリティ教育が進みにくい理由は「セキュリティ基盤がない」「経営側、管理側のセキュリティに関する知見・ノウハウがない」ことが原因です。また、急激に進むDX推進において、最適化や効率化、自動化に関する技術には投資するものの、セキュリティへの投資が甘いのも理由と言えるでしょう。
    IT系の企業や組織であれば別ですが、一般的なサービス業、小売、物流など、そもそもITやセキュリティに縁遠い業界や業種であれば「セキュリティよりも他に投資すべきことがある」のも事実です。極端なことを言えば、本業や主となる業務に投資するのがごくごく自然であること、セキュリティ自体が利益や売上を生み出すようには感じられないことも情報セキュリティ教育が進みにくい理由です。

    前提としてセキュリティ人材が枯渇していることも理解すべき

    業界や業種によっては、情報セキュリティ教育どころか、情報システム部が設置されていない、セキュリティ担当が不在なこともあるでしょう。そのため、本業や主となる業務に必要な人員とは別にIT人材やセキュリティ人材が求められるようになりました。結果としてセキュリティ人材が枯渇してしまい、セキュリティ基盤を整えることすらままならないのです。
    DXの推進もしなければならない、セキュリティも確保しなければならない、しかし、ITやセキュリティに関する人材が枯渇しているとなれば、情報セキュリティ教育ができないのも仕方がないと言えます。
    企業や組織としてセキュリティに関する課題や問題を解決するためにも、情報セキュリティ教育およびセキュリティリテラシーを向上するための基盤を構築することが求められます。

    onur-binay-pfQaePVnga0-unsplash.jpg

    セキュリティリテラシーを向上するための基盤や考え方

    次にセキュリティリテラシーを向上するための基盤や考え方について解説します。

    情報セキュリティ教育の基盤としてIT資産管理と情報資産管理の導入を

    大前提として、情報セキュリティ教育の基盤となるIT資産管理と情報資産管理の導入を行いましょう。セキュリティ基盤が整うだけでなく、従業員に守ってもらうべきセキュリティの範囲を狭くできるのが理由です。
    IT資産管理によって物理的なデバイスを管理し、情報資産管理によってデータの管理を行えるようになれば、ITやセキュリティに縁遠い業界、業種であってもセキュリティ性を高めることにつながります。

    情報システム部の設置やセキュリティ担当の配置やセキュリティへの投資

    情報システム部の設置やセキュリティ担当の配置も忘れてはなりません。すぐにIT人材やセキュリティ人材の雇用や育成が難しい場合においても、管理職や少しでもITに詳しい従業員を集めて、セキュリティ体制を整えるべきです。
    同時に、今の時代はセキュリティ=企業や組織の信頼でもありますので、セキュリティに対する投資にも注力しましょう。セキュリティに対する投資へのリターンは信頼であると理解すること、セキュリティを軽視しないことをおすすめします。

    OJTではなく、マニュアル化や情報共有する仕組みを準備

    情報セキュリティ教育は口頭やその場での指示で終わらせることなく、マニュアル化や情報共有できる仕組みで運用しましょう。業務や作業の流れの中で、どのようなセキュリティリスクがあるのか、どのようなサイバー攻撃があるのか事例を集めたり、事例への対策を蓄積したりするなど、セキュリティに関するノウハウを集めることが大切です。
    同時に、属人化やブラックボックス化など、特定の個人、担当しか理解していないような状況にならないように注意してください。担当が退職してセキュリティのことがよくわからない、どのように設定や対応をしていたか不明だとなれば、セキュリティリスクが増加してしまうことになるからです。

    定期的なテストなど、理解度を把握・精査することも重要

    必要に応じて、情報セキュリティポリシーや社内や組織内で定めたセキュリティルールに関するテストを行うのも良いでしょう。定期的なテストによって理解度を把握し、精査することで現時点におけるセキュリティリテラシーの向上度を効果測定するという意味でもあります。
    また、理解度に応じて管理する側がどの箇所のセキュリティを強化すべきかも常に検討しましょう。従業員側にセキュリティを丸投げすることなく、従業員が作業や業務に専念できる環境を提供すべきと覚えておいてください。

    業務や作業におけるセキュリティ対策を重視すべき

    業務や作業におけるセキュリティ対策とは、日々の流れの中でセキュリティリスクとなる箇所はないか、アナログなやり方のままで、デジタルやオンラインでは危険な行為はないかを把握、改善することを意味します。
    簡単なもので言えば、安易にメールの添付ファイルを開いていないか、勝手にウイルス対策ソフトをオフにしていないか、USBメモリにファイルやデータを入れて持ち帰っていないかなど、今までであれば当たり前だった部分を改善していくことを重視してください。

    管理する側がセキュリティリスクを把握することも忘れずに

    管理する側がさまざまなサイバー攻撃、手法、手口など、セキュリティリスクを把握することも忘れてはいけません。知らなかった、わからなかったでは済まないことを理解し、常に最新の情報から、既知の問題、課題においても情報収集を行ってください。
    その上でどのような対策をすべきなのか、対策しきれていない箇所はないかを精査し、少しずつでもセキュリティを強化していくこと、継続的に改善や効果測定を行うことをおすすめします。


    まとめ:情報セキュリティ教育を事業活動の一環として取り組もう!

    今回は情報セキュリティ教育に関する基礎知識、そしてセキュリティリテラシーを向上するための基盤や考え方についてお話しました。
    今の時代は個人・法人に関わらず、誰しもデジタルデバイスを所持しています。プライベートも含めてセキュリティリテラシーを持っていないと、間接的にサイバー攻撃による被害を受けてしまうことを忘れてはいけません。
    当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、情報セキュリティ教育の基盤となる安全性の高い環境が構築できます。同時に、従業員のセキュリティリテラシーの向上とともに、システム的にもセキュリティ性が高まりますので、ぜひともこの機会にご相談、お問い合わせください。

    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • 【自工会/部工会】サイバーセキュリティガイドライン対策セミナー

      2024/11/19(火)10:00~10:30

      【自工会/部工会】サイバーセキュリティガイドライン対策セミナー

    • 【改訂】ISMS(ISO27001:2022)対策のポイント5選

      アーカイブ配信

      常時開催

      【改訂】ISMS(ISO27001:2022)
      対策のポイント5選

    • IT導入補助金2024の攻略法

      アーカイブ配信

      常時開催

      IT導入補助金2024の攻略法

    • 情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

      アーカイブ配信

      常時開催

      情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

    • 社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

      アーカイブ配信

      常時開催

      社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

    • 情シス担当に調査!SaaS管理をとりまく実態とは?

      アーカイブ配信

      常時開催

      情シス担当に調査!SaaS管理をとりまく実態とは?

    • 金融分野における個人情報保護に関するガイドライン解説セミナー

      アーカイブ配信

      常時開催

      金融分野における個人情報保護に関するガイドライン解説セミナー

    • 「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

      アーカイブ配信

      常時開催

      「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

    • PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

      アーカイブ配信

      常時開催

      PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

    • 30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      アーカイブ配信

      常時開催

      30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      常時開催

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      常時開催

      『内部不正』が起きる要因と対策が分かるセミナー

    ハンモックのプロダクト

    • AssetsView Cloud
      IT統合管理ソフトウェア(クラウド)
      VPN不要で、働き方に問わず
      様々な環境下にある端末を一元管理
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化
    • AssetsView
      IT統合管理ソフトウェア(オンプレミス)
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト

    資料一覧はこちら