1.情報セキュリティ教育の必要性

企業の情報資産を責任を持って保護していくためにも、各従業員に対して情報セキュリティ教育を実施することは重要な対策です。情報漏洩の多くは人的な要因が引き金となって起こっているといわれています。日本ネットワークセキュリティ協会が2017年に行った調査によると、個人情報が漏洩した386件の事故のうち、誤操作が原因となったケースが97件、紛失や置き忘れが原因となったケースが84件ありました。すなわち、誤操作と紛失、置き忘れだけでも漏洩原因全体の約47％を占めているのです。これに管理ミスや設定ミスといった原因の数字を加えれば、人的要因で情報が漏洩したケースは全体の60%を上回ります。

この他にも、従業員による社外へのデータの持ち出し、SNSへの情報公開などが原因となったケースもあります。原因がどのようなものであれ、情報セキュリティ事故が起こると企業の社会的な信用度は著しく下がることになるでしょう。そして、被害者に支払う損害賠償金などの直接的な被害だけではなく、風評被害による企業価値の低下、顧客からの受注件数の減少など、企業はさまざまな重荷を背負わされることになります。情報漏洩で経営に大きな影響を与えてしまう前に、情報セキュリティ教育を徹底することで人的な原因による事故の芽をあらかじめ潰しておく必要があるのです。

2.情報セキュリティ教育の基本はポリシーの策定から

従業員のセキュリティ対策に対する意識を高めるのに効果があるのが情報セキュリティポリシーの策定です。情報セキュリティポリシーとは、情報セキュリティを保つために企業が定める全体的な指針のことです。企業が情報セキュリティポリシーを策定する際は、自社の事業内容やシステム構成などに合った指針を検討する必要があります。同じような事業を行っている企業の指針をただ模倣するのではなく、扱う個人情報の範囲などの細かい要因についてもしっかりと検討しなくてはなりません。多様化が進むサイバー攻撃に対抗するための体制づくりを意識しながら情報セキュリティポリシーを策定していきましょう。

情報セキュリティポリシーに盛り込む内容としては、基本方針と対策基準、そして実施手順の主に3点となります。まず、基本方針とは企業における情報セキュリティ全体の方針のことであり、セキュリティポリシーの羅針盤ともいえる重要な項目です。なぜサイバーセキュリティが必要なのか、どのような方針に基づいて情報資産を保護していくのかといった内容に言及した文章を盛り込むことになるでしょう。3つの項目の中ではもっとも表題的かつ理念的な部分なので、対策基準や実施手順の方向性を決定づけることを意識しながら慎重に定める必要があります。

次に、対策基準では実際に導入する情報セキュリティ対策の内容について、部署別、システム別に具体的なガイドラインを定めます。システム開発やアウトソーシング契約、サーバー運用などに関して、基本方針に沿った基準や情報保護策を記載したガイドラインを作成しましょう。基本方針よりも実践的な内容にする必要があり、規約に違反した際の罰則規定についても具体的に定めておかなくてはなりません。

最後に、実施手順は実際の作業フローや業務に関して情報セキュリティを保つための具体的な方策を記載すべき項目です。自社の情報資産をしっかりと守るために、情報セキュリティの担当者だけではなく、各部署の従業員が行うそれぞれのオペレーションについても細かく方策を定めておく必要があるでしょう。例えば、セキュリティソフトを導入する際の手順や電算室に入るときのアクセス権限などについて、できるだけ実務に寄り添って具体的に定めていくということです。

3.セキュリティポリシー策定後は周知が大切

万全の保護策が記載された情報セキュリティポリシーを策定できたとしても、その内容を従業員に認識してもらえなければ意味がありません。そのため、策定した情報セキュリティポリシーを従業員に周知していく方法を事前に押さえておくことが大切なのです。周知するための方法としては、企業のトップから直々に発信するのが効果的だといえます。このとき、禁止事項や遵守事項などの重要なポイントはなるべく強調して伝えておいたほうがよいでしょう。また、社内報として職場に配布したり、イントラネットに掲示して従業員がいつでも確認できるようにしたりする方法も効果的です。

情報セキュリティポリシーの周知と並行して、情報セキュリティを保つことの重要性を従業員に理解させることも重要です。従業員が規定を守るべき理由を理解していなければ、長期的に情報セキュリティに関する秩序を維持するのは困難だといえます。情報セキュリティの重要性を従業員に理解させるためには、実際にどのような脅威や被害があり得るのかということを具体的に示唆してみるとよいでしょう。ウイルスやスパイウェア、詐欺などの具体的な脅威を認識させたうえで、情報セキュリティポリシーの周知を行っていくべきなのです。

4.教育する対象者は役員だけではない

それぞれの従業員が扱うことのできる情報のレベルは役職や部署などによって異なります。しかし、どこから企業の情報資産が漏れてしまうのかということは予測できません。特に、誰でも気軽にインターネットで情報を発信できる現代社会において、この傾向は顕著に現れているといえるでしょう。すなわち、情報セキュリティ教育の対象とするべきなのは重要なポストに就いている役員だけではなく、すべての従業員に対して教育を行う必要があるのです。正社員以外の派遣社員やアルバイト従業員であっても、会社の情報に触れる可能性は十分あります。そして、場合によっては業務委託先の従業員に対しても情報セキュリティ教育を行わなければならないでしょう。

5.教育を行う効果的なタイミングと教育内容

実際に情報セキュリティ教育を行うときは、適切なタイミングを見計らうことでさらに周知効果は高まるでしょう。具体的には、情報セキュリティポリシーの運用開始時や内容の改変時などが教育を行うべきタイミングとして挙げられます。また、自社や他社、関連企業で情報漏洩などの事故が起きたときは、従業員の情報セキュリティへの関心が高まっています。この機を逃さずに全社を挙げて徹底した教育を行うのもよいでしょう。そして、新卒や中途で採用した社員の新人研修を行うときも教育実施の適切なタイミングの一つだといえます。これらのタイミングを組み合わせながら、全従業員にわたって情報セキュリティの意識が高まるように教育を行っていきましょう。

5-1.教育内容1.パスワード管理

情報セキュリティ教育の1つ目の内容として、パスワード管理が挙げられます。企業の情報資産にアクセスする際に使うパスワードの管理をおろそかにすると、機密情報の漏洩につながってしまう恐れがあります。そのため、従業員が安全にパスワードを管理するための方法について、しっかりと教育を行うことが大切だといえるのです。パスワードを作成する際は、なるべく他人に推測されにくく、ツールでも割り出しにくい文字列を工夫する必要があります。

名前や誕生日などの個人情報をパスワードに含めない、数字とアルファベットを混在させるなどのポイントを従業員に教えておきましょう。また、パスワードクラッカーというツールにはパスワードに使われやすい英単語などが多数登録されています。こうしたツールでパスワードを割り出されないためにも、安直な文字列を選ばないというポイントについても従業員に周知しておくとよいでしょう。

次に、パスワードは作成方法だけではなく保管方法に注意を払うということも重要です。絶対に他人に知られないように工夫し、自分で忘れないようにメモを残している場合は、常にメモを持ち歩くなど、厳重な保管に努めなくてはなりません。そして、複数のサービスで同じパスワードを使いまわさないという点にも注意しましょう。これは、一つのサービスで流出してしまったパスワードが他のサービスでの不正ログインに利用されてしまうのを防ぐための対策です。パスワードを定期的に変更するよりも、複数のサービスで使いまわしておらず、推測しにくい固有のパスワードを作成するようにしましょう。

5-2.教育内容2.電子メールの誤送信

2つ目に、電子メールの誤送信についてもしっかりと教育を行うことが大切です。電子メールは日常的にも利用する機会の多い便利なツールですが、それだけに誤送信によって情報漏洩などの事故が起こるというケースが頻発しています。電子メールを送信するときに気を付けておきたいのが、文字入力を補助するための機能の一つであるオートコンプリートです。オートコンプリートは、メールアドレスの最初の部分を入力すれば後の部分は履歴から予測して自動で入力してくれるという機能です。便利なのでつい頼ってしまいがちな機能ですが、確認を怠って間違った宛先に機密情報が記載されたメールを送ってしまう恐れがあるので気を付けましょう。

また、宛先欄の「CC:」と「BCC:」の使い分けについても注意しておく必要があります。「CC:」でメールを一斉送信した場合、受信者は他の受信者のメールアドレスを見ることができます。一方、「BCC:」で送った場合は他の受信者のメールアドレスが表示されません。つまり、「BCC:」で送るべきときに間違えて「CC:」で送ってしまうと、すべての受信者のメールアドレスを相手に知らせることになるのです。情報漏洩を防ぐためにも、電子メールは宛先欄の表示をよく確認したうえで送るようにしましょう。

5-3.教育内容3. バックアップ

3つ目の教育内容は、パソコンを継続的かつ安全に使用するために定期的なバックアップを行うということです。バックアップを行う際は、CD-RやDVD-R、DVD+Rなどの記憶媒体、外付けのハードディスク、オンラインストレージなどを利用することになります。そして、情報はただバックアップすればよいというものではなく、バックアップした後の取り扱い方についてもしっかりと教育しておかなければなりません。記憶媒体は適切な場所に保管する、社外には持ち出さないなど、情報セキュリティポリシーで規約内容を具体的に定めておきましょう。

5-4.教育内容4. ウイルス対策

4つ目の教育内容は、社内ネットワークを保護するためにもウイルス対策をしっかりと行うということです。具体的なウイルス対策としては、ウイルス対策ソフトをパソコンにインストールし、ウイルス検知用データを常にアップデートして最新のものにしておくという方法があります。また、定期的にウイルススキャンを実行して安全性を確保しておくことも大切です。許可されていない記憶媒体は使用しない、ファイルを開く前にウイルスチェックを実施するなど、USB媒介ウイルスへの対策についても教育しておきましょう。

5-5.教育内容5. 安全な無線 LAN の利用

5つ目に、公衆無線LANを利用するときについての教育を行って通信内容の傍受を防ぐことも大切です。公衆無線LANを利用する際は、データの盗難やウイルス感染の恐れがあるのでファイル共有機能を解除しておく必要があります。また、無線LANの中には悪意を持った第三者によって設置されているものもあります。そのため、ネットワークの信頼性を確認したうえでアクセスしなくてはなりません。

5-6.教育内容6.SNSの利用

6つ目の教育内容として、SNSを利用する際は情報流出などに注意するということが挙げられます。不用意にSNSを利用すると、情報の流出だけではなく企業イメージの失墜につながってしまう恐れもあります。利用するサービスの規約をしっかりと守る、アカウント情報を適切に管理するなどの基本的なポイントを押さえてSNSを使うように注意喚起しましょう。また、企業イメージを傷つけるような内容の投稿を行わないように従業員のモラルに訴えかけることも大切です。

6.教育で得られた結果を定期的にチェックする

情報セキュリティ教育を実施した後は、実際にどのような効果が得られたのかということを確認しておく必要があります。確認する方法としては、教育後にテストを行って従業員の理解度を試してみるのも有効だといえます。理解度を確認するテストの結果が好ましくなかったり、情報セキュリティポリシーが守られていなかったりする場合は、よい結果が得られるまで再教育を行わなければならないでしょう。

7.情報セキュリティ対策にゴールはない

情報セキュリティポリシーの策定や従業員教育の実施によって企業の情報セキュリティを強化したとしても、リスクや脅威が完全に消え去るわけではありません。そのため、定期的な教育を行って継続的に従業員の意識を高めていくことが重要であるといえます。今回紹介した内容を参考にして、教育の効果を確認しながら情報セキュリティ対策を継続して実践していきましょう。