2019.04.05
企業の運営にとって、インターネットは欠かせないものといえます。ただ、インターネットは便利な反面、利用に当たりさまざまなリスクがあるため、注意が必要です。従業員が情報セキュリティの意識を高めることは、企業にとって必須となっています。ここでは、企業の運営において欠かすことのできない情報セキュリティ対策の研修の種類や内容について説明します。
そもそも、企業の運営にとって情報セキュリティ対策は、なぜ必要なのでしょうか。過去の事例を参考にすると、情報セキュリティが不十分な場合、企業の情報に関するリスクが非常に大きい傾向にあるのです。具体的には、セキュリティ対策が不十分だと、「情報漏洩」などのトラブルが起こるリスクがあります。もしも従業員や顧客の情報などが外部に漏洩してしまった場合、企業の社会的信頼を大きく損なう原因につながるため要注意です。また、漏洩した情報がインターネットに出回ってしまった場合、その情報を完全に消去するのは非常に難しくなります。
さらに、企業が個人情報を流出させてしまうと、損害賠償や行政指導などの問題に発展するおそれもあるのです。大きな騒ぎになってしまうと、企業のイメージが低下してしまい、利用者の減少や売上の低下など、経営に影響が出てしまう可能性があるため注意が必要です。また、情報セキュリティに関する問題の多くは、内部要因であるといわれています。したがって、情報セキュリティの向上を目指すには、企業内部で適切な研修を行う必要があるのです。
企業にとって警戒すべき、情報セキュリティの脅威にはどのようなものがあるのでしょうか。主な脅威となる内容について、10大脅威のなかから、特に注意すべきものを確認していきましょう。
まずは「標的型攻撃による被害」です。標的型攻撃とは、企業・民間団体・官公庁などの組織から、情報を盗み取ることを目的としたものです。その手口は、主にメールやサイトを利用して行われます。まず、攻撃者がメールの添付ファイルやサイトを使って、ウイルスを標的のパソコンに感染させます。そして、その感染したパソコンから組織内部へと侵入し、情報を盗むのです。
さらに、「ランサムウェアによる被害」も、企業にとって大きな脅威です。ランサムウェアとはウイルスの一種で、感染するとパソコンやスマートフォンなどに保存されているファイルが暗号化されたり、画面をロックされたりする被害が生じます。そして、その暗号化やロックなどの解除・復旧をするために金銭を支払うなど、何らかの要求・脅迫をされるケースが多くなっています。企業の場合、業務を果たすうえで必要不可欠な情報が暗号化されると、業務の継続に支障が出る可能性があります。さらに、脅迫内容の指示に従ってしまうと、何らかの損害が発生するおそれもあります。
「ビジネスメール詐欺による被害」にも注意が必要です。ビジネスメール詐欺とは、普段取引をしている企業先や経営者などを装い、メールでのやり取りで口座へ送金させるなど、巧妙な手口でお金をだまし取る手口です。主に、企業内でお金を取り扱っている担当者をターゲットにしています。また、「内部不正による情報漏洩」による被害も少なくありません。企業の従業員や関係者などによって、機密情報の漏洩や悪用などの不正行為が起こるケースがみられます。従業員や関係者による不正行為は、企業のイメージダウンや損害賠償など、深刻なダメージを与える原因につながります。こうしたトラブルを未然に防ぐためにも、情報に関するモラルやリテラシーについて、きちんと社員教育を行うことが重要です。
「サービス妨害攻撃によるサービスの停止」も脅威の一つです。これは乗っ取った複数の機器から形成するネットワークを踏み台にして、企業が運営するインターネットサービスに攻撃を行うものを指します。攻撃によってサービスにアクセスが集中し、高負荷状態に陥ってしまうのです。すると、サービスにおけるレスポンスが遅延したり、最悪の場合は機能停止状態になったりするおそれがあります。サービスの提供に支障が出ると、その復旧作業の間に顧客がほかの商品やサービスに関心を持ってしまうなど、利益損失につながる可能性があるため注意が必要です。
情報管理におけるさまざまなリスクの発生を防ぐには、社内で情報セキュリティ研修を行うことが大切です。ただ、情報セキュリティ研修といっても、その形態は多岐にわたります。それぞれの形態の特徴をきちんと理解したうえで、目的に合う研修を実施するのが肝心です。まずは「経営層・管理職を講師として行う研修」です。企業に必要な対策を理解している経営者・管理職が直接研修を行うことで、しっかりと社員への教育を行えます。
次は「外部から情報セキュリティ対策の専門家を招いて行う研修」です。豊富な知識を持つ外部の専門家を招くことで、説得力のある研修を行えます。また、「eラーニングを使用した研修」もあります。eラーニング研修は、インターネットに接続したパソコンを使って、動画教材などで情報セキュリティ対策の必要性や基本知識などを学習できるのが特徴です。インターネットの接続環境とパソコンの準備が整っていれば、スムーズに研修を始められます。準備に手間がかかりにくく、企業にとって時間的な負担の少ない研修方法といえます。
社内研修はそれぞれの形態ごとに、メリットだけではなくデメリットもあります。形態ごとの問題点は、以下の通りです。まず、経営層や管理職を講師とする場合、「専門的な知識があるとは限らない」ということが問題点として挙げられます。経営層や管理職は自社にとって必要な対策について熟知しているものの、肝心な専門的知識が十分ではないことも少なくありません。研修の要ともいえる講師の知識が少ないと、説得力に欠けてしまったり、質問にうまく答えられなかったりするおそれがあります。
続いて、外部講師の場合は事前の打ち合わせが不十分だと、「得られる成果が少なくなる」ケースがみられます。外部講師を招く場合、事前の打ち合わせは、研修の成果を左右する大きなポイントです。外部講師に依頼する際、ありがちなのがきちんと打ち合わせをせず、すべての研修内容を講師に任せてしまうことです。万が一、講師が研修を行う目的や要望を正確に把握できていない場合、思うような成果を得られないおそれがあります。
このような事態を避けるためにも、研修の目的や期待する成果について、事前に打ち合わせを行うのが肝心です。また、eラーニングの場合は「受講する社員のモチベーションの維持が難しい」傾向にあります。eラーニングは自由度の高い研修方法のため、受講の強制力が働きにくい傾向にあるのです。なかなか研修を受ける気にならなかったり、張り合いがなく途中で飽きてしまったりするケースもみられます。モチベーションを維持するには、定期的に研修を受けるよう呼びかけたり、受講者同士が関わり合える環境を整えたりするのも良い手です。習熟度をチェックするために、定期的に評価テストを行なうことも効果的です。
これらの問題点に不安があったり、問題をうまく解消する自信がなかったりする場合は、「社外研修」を行うのもおすすめです。社外研修は専門家の指導によって、必要な知識と新たな気付きを得られます。また、研修内容について考える必要がなく、業務の負担を減らせるのも社外研修のメリットです。
情報セキュリティ対策の知識を深めるには、「独立行政法人情報処理推進機構」が主催する、各種セミナーを受講するのがおすすめです。セミナーでは情報セキュリティ対策について、幅広い知識を学ぶことができます。社員がセミナーを受講して知識を深めることが、自社における情報セキュリティ対策強化の土台となることでしょう。
また、セミナーでは映像資料の提供があるのもポイントです。映像資料を自社に持ち帰ることで、社内研修に役立てられます。開催は基本的に毎年6~12月頃に行われており、参加費は無料です。なお、セミナーにはいくつかの種類があり、対象や目的ごとにコースが分かれています。対象・目的を確認したうえで、必要なセミナーを受講しましょう。
研修担当者養成コースは、主に企業における情報セキュリティの教育担当者や、コンプライアンス部門の担当者などを対象にセミナーを開催しています。そのほかにも、Pマーク・ISMSなどの事務局担当者や、情報セキュリティの最新状況を把握したい人なども対象です。概要としては、情報セキュリティ啓発に関する映像を上映しています。さらに、資料を使ってセキュリティ上の脅威、また対策に関する解説が行われます。
なお、このコースは啓発映像と資料を用いて、企業内・組織内で情報セキュリティ研修を行えるようにするのが、主な目的です。研修担当者養成コースにはサブコースがあり、「サブコースA」は標的型サイバー攻撃対策、「サブコースB」はスマートフォンセキュリティに関する内容です。また、「サブコースC」は新入社員が知るべき情報漏洩の脅威 、「サブコースD」は適切なSNS利用の心得、 「サブコースE」はパスワードの設定と管理方法という内容になります。
マネジメント入門コースは、中小企業の経営者および管理者で、情報セキュリティの必要性を感じており、入門的に理解したい人を主な対象にしています。概要は重要な情報の扱い方やウイルス対策などです。また、パソコン・メールの利用における注意点や、機密保持における取り組みなど、情報セキュリティ対策の入門的な知識を学べます。
情報セキュリティ10大脅威とその対策コースは、最新の情報セキュリティ脅威や、技術対策に関する理解を深めたい人を主な対象にしています。インターネット上では、新たな脅威が日々出現しています。こうした脅威に対して適切な対策を行うには、まず「敵の情報を知る」のが肝心です。この対策コースでは、情報セキュリティ分野の専門家や研究者から多くの知見や意見を集め、脅威の動向や事例、また技術的対策について学べるのが特徴です。なお、情報セキュリティ10大脅威は個人向けと組織向けに分かれているため、受講の際は選択に注意しましょう。
ウェブサイトを安全に運用するためのポイントは、主に経営者やサイトの運営者を対象にしているコースです。サイトのどのような部分を攻撃対象にされやすいのか、その攻撃への対策はどうすれば良いのかについて学べます。安全にサイトを運用するためのコツを知りたい人に向いています。また、デモを交えて攻撃の解説をしてくれるのがポイントです。サイトのセキュリティ対策が不十分な場合の危険性について、理解を深めることができます。
制御システムセキュリティは制御システムを運営する経営者や、制御システムの導入・運用・管理などに携わっている人を、主な対象にしています。また、経営におけるリスク管理担当者なども対象です。制御システムに適切なセキュリティ対策が施されていない場合、さまざまなトラブルが発生するリスクがあります。具体的には、設備の損壊や生産ラインの停止などです。また、場合によっては環境汚染などを招く原因につながり、大きな損失を生む可能性もあります。安全に制御システムを使い続けていくためのポイントや、セキュリティリスクなどを学べます。
IoT開発におけるセキュリティ設計の手引きは、主にIoT開発のセキュリティ設計担当者や開発者を対象にしたコースです。概要はIoTのセキュリティ設計における、セキュリティガイドの説明です。また、セキュリティ設計に関する脆弱性への対応方法や、脅威分析について学ぶことができます。
中小企業の情報セキュリティ対策ガイドラインは、法人・個人事業主・各種団体などを含む、中小企業や小規模事業者の経営者が主な対象です。中小企業や小規模事業における、安全に情報管理をすることの重要性や必要性について学べます。また、情報セキュリティ対策の取り入れ方や考え方について、知識を深められます。
サイバーセキュリティ経営ガイドラインは、主にITに関連するシステムまたはサービスなどを提供している大企業や中小企業、事業上でITの利用が欠かせない企業の経営者などを主な対象にしています。サイバーセキュリティリスクに対応するための対策や、検討・実践におけるポイントについて学べます。
組織における内部不正防止ガイドラインは、主に経営者や情報システム担当者、またCIO・CISOや人事担当者などを対象にしているコースです。主に内部不正を防止するための考え方や対策方法、さらに内部不正が起きたときの拡大防止についての知識を得られます。
情報セキュリティは、すべての従業員が意識を高く保つ必要があります。セキュリティ意識を高めるためにも、セミナーの受講を考えてみてはいかがでしょうか。