1.情報セキュリティ白書2018

独立行政法人情報処理推進機構（IPA）は、2008年から毎年「情報セキュリティ白書」を発行しています。本白書は、情報セキュリティインシデントやセキュリティに対する攻撃についての現状と、それらへの対策についての情報を提供するために制作されました。主に、企業や組織のシステム管理者や情報セキュリティに関心のある人を対象としています。日頃からパソコンやスマートフォンを使用している一般の利用者に対しても、身近な事例を通して情報セキュリティ上の脅威を認識できる内容になっています。

情報セキュリティに関する国内外のあらゆる情報を広く扱っているため、企業の従業員教育には欠かせない資料です。情報セキュリティ白書2018は、IPAのサイトで購入またはダウンロードすることができます。

2.映像で知る情報セキュリティ

IPAが制作している情報セキュリティの教育資料には、動画もあります。ウイルス・サイバー攻撃対策や情報漏えい対策など、項目別にさまざまな動画が用意されています。どの動画も約5分～15分程度の長さなので、企業の社内研修にも使いやすいです。内容も単に情報セキュリティについて講義するのではなく、身近な事例をドラマ形式で紹介するなど、親しみやすいよう工夫がされています。また、専門用語などにも分かりやすい解説がついており理解しやすい内容なのが特徴です。動画はIPAのサイトから視聴でき、主な映像が収録されているDVD-ROMも配布されています。

3.情報漏えい発生時の対応ポイント集

企業においては日頃から重要な機密情報が漏えいしないよう防止策を講じておく必要があります。しかし、万が一情報漏えいが起こってしまった際には早急に適切な対応をしなければなりません。その対応法について学べるのがIPAの「情報漏えい発生時の対応ポイント集」です。このポイント集では、まず、情報漏えい発生時における基本作業や情報共有といった共通事項について説明。そして、実際に情報漏えいが発生したケースを例にタイプ別に対処法が解説されています。

具体的なケースについて図やイラストを使用しながら分かりやすく解説しているので、情報漏えい発生時の対応マニュアルとしても有用です。また、実際の情報漏えい発生時に起こる実害も紹介されるので、情報漏えいの脅威を学ぶことができ、未然防止がいかに大切かという啓発にもつながります。この小冊子はIPAのサイト上で閲覧可能です。

4.情報セキュリティ読本 五訂版

情報セキュリティについて基本からしっかり学びたいという人には「情報セキュリティ読本五訂版」が適しています。前の版の内容に新しくランサムウェアについての記載を加え、IoT機器とスマートフォンに関する項目についてもより充実した内容となりました。本書は、情報セキュリティの基本に特化した内容になっており、技術的な事柄や専門的な事項といった細部にはこだわらず、気軽に読めるタイプの教本です。分かりやすく書かれているので、情報セキュリティの全体像を把握するのに最適です。

基本といっても、情報セキュリティのとても大事な根幹部分を解説しているので、企業の経営層から従業員まで幅広く適応しています。本書は、実教出版株式会社より648円（税込）で販売されています。

5.警察庁サイバー犯罪対策プロジェクト

従業員の情報セキュリティ教育においては、実際にどのようなサイバー攻撃が発生し、どのような実害が出ているのかについて知り、その恐ろしさを理解してもらうことが大切です。それに役立つのが、警察庁サイバー犯罪対策プロジェクトが公表している統計です。各年度にどのようなサイバー攻撃が発生したかについての資料を、警察庁サイバー犯罪対策プロジェクトのサイト上でダウンロードできます。たとえば、インターネットバンキングにおける不正送金事件や、コミュニティサイトに起因する事件の発生件数やその対策について知ることができます。

具体的な件数やパーセンテージが数字になって可視化されるので、サイバー攻撃の脅威をよりリアルなものとしてとらえることができるのです。また、ニュースで話題になったことや身近な事例について詳しく紹介されているので、従業員にも興味を持って学んでもらうことができるでしょう。

6.情報セキュリティインシデントに関する調査報告書

企業にとって脅威の情報セキュリティインシデントの代表的なものに、個人情報漏えいがあります。情報セキュリティの中でも個人情報漏えいに特化した内容を学べるのが、特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）が公表している「情報セキュリティインシデントに関する調査報告書」です。JNSAでは、セキュリティ被害調査ワーキンググループを結成し、個人情報漏えいインシデント情報を収集し、調査結果を本報告書にまとめました。個人情報漏えいが発生した組織の業種、漏えい原因、漏えい人数などがまとめられています。また、個人情報漏えいインシデントが起きた企業（組織）がどのような形で謝罪し、対応したかについても報告されているので、対応策を参考にしたいときも便利です。

単にデータのみを記載するだけなく、調査結果から読み取れることを分析しているという長所があります。本報告書はJNSAのサイトからダウンロード可能です。

7.セキュリティ対応組織の教科書

情報セキュリティについての対応システムを構築・運営し、インシデントを未然に防止するためには、組織内できちんとセキュリティ対応に必要な機能や役割を理解していなければなりません。JNSAが発行している「セキュリティ対応組織の教科書」では、セキュリティ対応組織においてどのような機能や人材が必要になるかがまとめられています。本書は、セキュリティ対応を専門とするセキュリティオペレーション事業者の視点から整理されているので、実際に組織においてどのようなシステムを構築すべきかについてイメージしやすくなっています。また、組織パターンごとのセキュリティ対応システムが紹介されているので、自社組織に合ったシステムの手本となるのも利点です。

教育を通して従業員に会得してもらった情報セキュリティの知識を、実際の組織運営に役立てるためにもしっかり情報セキュリティの対応組織を構築することが必要です。なお、本書はJNSAのサイトからダウンロード可能です。

8.国民のための情報セキュリティサイト

情報セキュリティインシデントを防ぐためには、企業（組織）レベルでの対応が重要なのと同時に、従業員個々人の意識を上げることも重要です。総務省が提供している「国民のための情報セキュリティサイト」では、パソコンやスマートフォンでインターネットを利用する際について気を付けるべき事項を網羅的に紹介しています。インターネットや情報セキュリティに関する法律などの基本知識から、技術面での情報、覚えておくと便利な専門用語についてまで分かりやすく解説されています。

また、情報セキュリティの対策と実践についてエンドユーザー、ホームページ開設者、企業・組織といったように、それぞれの属性に向けてのコンテンツがあるのが特徴です。本セキュリティサイトの内容は全て総務省のサイトからダウンロードできます。

9.新入社員等研修向け情報セキュリティマニュアル

情報セキュリティについては、新入社員に対しても早い段階で教育を施すことが大切です。新入社員向けの情報セキュリティ教材としては、一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）が作成した「新入社員等研修向け情報セキュリティマニュアル」が役立ちます。本教材は、新入社員教育担当者に向けて作られた、情報セキュリティ教育のためのガイドラインです。内容は、教育担当者が実際に新入社員を教育するにあたって留意すべきことと、新入社員教育にそのまま使える教材部分が区別できるようになっています。

補助教材はクイズ形式になっており、初心者でも楽しみながら基本知識を身に付けられるのがメリットです。本教材はJPCERT/CCのサイトよりダウンロードして使用できます。

10.CSIRT人材の定義と確保

CSIRT（シーサート）とは、コンピュータセキュリティに関するインシデントへの対処を目的とした組織の総称です。具体的には、コンピュータセキュリティインシデントに関するあらゆる情報を常に収集し、分析したうえでインシデントの対応方針や手順の策定を担当します。本資料では、各企業（組織）において必要な情報セキュリティ機能、体制、人材とはどのようなものかを明確化するこが目的です。組織に必要なCSIRTの役割と業務内容について、情報共有から分析、従業員教育に至るまで機能分類を細かく実施、それぞれに求められる業務内容を明確化しているので、CSIRTの具体的業務内容がイメージしやすくなっているでしょう。

CSIRTが組織内でどのような位置にあるか分かる業務関連図もあるので、他部門との連携の仕方がイメージしやすくなっています。本資料は日本シーサート協議会のサイトからダウンロード可能です。

11.セキュリティ知識分野人材スキルマップ

特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）では、情報セキュリティ業務に携わる人材が身に付けておくべき知識とスキルを整理した「セキュリティ知識分野人材スキルマップ」を作成しています。このマップは、知識やスキルの内容そのものの解説というよりも、どの役割を持つ人材がどの知識・スキルをマスターすべきかが一覧で分かることをねらいとしています。本マップに登場する情報セキュリティスキルは約400に上りますが、この全てを同じレベルまでマスターすることは非常に困難でしょう。そのため、各人材がマスターしておくべきスキルを明確にしながら教育することが必要となってきます。

また、本スキルマップは、新たに人材を募集する際に応募条件において必要な経験・資格・能力を限定することにも役立ちます。本スキルマップはJNSAのサイトからダウンロード可能です。

12.サイバーセキュリティ経営ガイドライン

あらゆる企業や組織において、ITの利活用は収益を増加させるために必要不可欠です。しかし、ITを導入することで膨大な量の機密情報や顧客情報を保有しなければならず、それらの情報に対するサイバー攻撃もまた増加の一歩をたどっています。このことから、ITに対するセキュリティに関し、トップの経営層がしっかりと基礎を理解し、経営者レベルでの判断が必要とされているのです。経済産業省が公表している「サイバーセキュリティ経営ガイドライン」は、ITに関する知識が必要不可欠である経営者を対象に、サイバー攻撃から企業を守るために認識すべき3原則や、経営者が情報セキュリティ管理担当者に指示すべき重要10項目などを掲載しています。

本ガイドラインは、経営層と実務担当者とが互いに連携を図り、適切なサイバーセキュリティ対策を行うために必要な指針です。なお、経済産業省のサイトから無料でダウンロードできます。

13.中小企業の情報セキュリティ対策ガイドライン

独立行政法人情報処理推進機構（IPA）が公開している「中小企業の情報セキュリティ対策ガイドライン」は、個人事業主、小規模事業者を含む中小企業を対象としたガイドラインです。中小企業が情報セキュリティ対策に取り組むに当たって認識・実施すべき指針や手順などがまとめられています。ITを利活用している中小企業においても、サイバー攻撃に対する施策を講じなければ重要な機密情報の漏えいは避けられません。そこで、本ガイドラインが有用なのです。

構成は経営者編と実践編の2部構成となっています。自社が情報セキュリティに関してどの程度対策できているか診断するチェックシートや、リスク分析シートなども付いているので、自社で情報セキュリティポリシーを作成する際の参考資料としても使えます。本ガイドラインは、IPAのサイトからダウンロード可能です。

14.情報セキュリティ関連法案

情報セキュリティに関する教育では、いくつかの関連する法律についても目を通しておくのが良いでしょう。まず、「不正アクセス行為の禁止等に関する法律」では、インターネットにおける不正アクセス行為にはどのようなものがあるか、どのような行為が禁止されているのか、違反するとどのような罰則があるのかについて知ることができます。「サイバーセキュリティ基本法」は、サイバーセキュリティに関する国や地方公共団体の責務を明らかにし、サイバーセキュリティ戦略の策定や、施策の基本事項を定めることで、国民が安全に暮らせる社会の実現を目的としています。

「特定電子メールの送信の適正化等に関する法律」は、不特定多数者に一斉に送られるスパムメールなどへの対策や措置について定めた法律です。特定電子メール送信の制限に関する事項や、特定電子メール送信をしてしまった者は苦情・問合せなどについて誠意をもって処理しなければならないといったことが定められています。

15.情報セキュリティ教育で従業員の意識を高めよう！

ITが必要不可欠である組織において、頻発し複雑化するサイバー攻撃から自社システムを守るには、情報セキュリティに関する知識を深める教育が必要です。紹介した各資料は無料でダウンロードできますので、従業員に対する教育に利活用し、情報セキュリティインシデントを未然に防止できるように備えましょう。