「情報セキュリティ教育ってどんなことするの?」
「情報セキュリティ教育って本当に必要なの?」
など、情報セキュリティ教育について知りたい方はいませんか?
情報セキュリティ教育を行うことで、情報セキュリティに関する正しい知識とスキルを従業員が習得でき、情報漏洩やサイバー攻撃などのセキュリティ事故を未然に防ぐことができます。
また、従業員のセキュリティレベルが向上することは企業を守ることや社会的信用にも繋がります。
この記事では、
- 企業で「情報セキュリティ教育」はなぜ必要とされているのか
- 情報セキュリティ教育を行う5つの手順と注意点
- 実際に起きた情報セキュリティ事故とその対処法
などを解説します。
また、おすすめのセキュリティサービスも紹介していますので、ぜひ最後までお読みください。
-8-1000x300.png)
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
企業で「情報セキュリティ教育」はなぜ必要とされているのか
企業での情報セキュリティ教育は、社会的信用や金銭的損失を防ぐために必要です。
不正アクセス対策やウイルス対策ソフトなどの技術的な対策だけでは防ぎきれない、「ヒューマンエラー」を防ぐために情報セキュリティ教育は必要とされています。
ヒューマンエラーとは、疲労やストレス、知識・経験不足により情報漏洩やセキュリティ事故を引き起こしてしまうことです。
情報セキュリティ教育は、技術的なシステムだけでは防げないヒューマンエラーを従業員1人1人の取り組みでカバーし、組織全体のセキュリティレベルを高めることも目的とされています。
そもそも情報セキュリティ教育・研修って何?
従業員が情報セキュリティに関する正しい知識とスキルを習得し、セキュリティ意識を高め、セキュリティ事故を未然に防ぐための社内教育です。
当サイトを運営するCaccoでは、個人情報やSNSの使い方などセキュリティ教育・研修を年1回実施しています。
また、ISMS認証を取得しており国際基準のセキュリティ体制を整えています。
ISMS認証とは、組織の情報セキュリティマネジメントシステム(ISMS)が国際規格「ISO/IEC 27001」に適合していることを、第三者機関が審査・証明する制度です。
※引用:Cacco Inc.
Caccoでは、セキュリティ対策として情報セキュリティ教育と併用して導入すべき不正検知サービスを開発・提供しています。
詳しくは、『情報セキュリティ教育と併せてセキュリティサービスの導入も必要!』で解説しています。
企業が情報セキュリティ教育を行うことは義務?
企業が情報セキュリティ教育を行うことは、「個人情報保護法」に記載があるように「従業者に対する監督」を果たすため実質的に義務といえます。
適切な教育を行うことで社員のセキュリティ事故のリスクを減らし、企業と従業員を守ることにも繋がります。
1人1人のリテラシー向上を組織文化として根付かせることが、結果としてサイバー攻撃に対する最も強固な壁となります。
また、個人情報保護法について以下の記事で詳しく解説していますのでぜひご覧ください。
情報漏洩の原因から分かる!情報セキュリティ教育の必要性
東京商工リサーチの『2024年「上場企業の個人情報漏えい・紛失事故」調査』によると、2024年に上場企業とその子会社で個人情報の漏洩・紛失事故を公表した企業は189社ありました。
また、2012年から2024年までの13年間で漏洩・紛失した可能性のある個人情報は、累計1億8,249万人に達するそうです。
東京商工リサーチによると、2024年の情報漏洩・紛失事故のうち、原因別のランキングは次の結果となりました。
情報漏洩の原因別TOP4です。
- 【原因1位】ウイルス感染・不正アクセス
- 【原因2位】誤表示・誤送信
- 【原因3位】不正持ち出し・盗難
- 【原因4位】紛失・誤廃棄
それでは1つずつ詳しく解説していきます。
【原因1位】ウイルス感染・不正アクセス
2024年における上場企業の個人情報漏洩・紛失事故のうち、原因別で最も多かったのは「ウイルス感染・不正アクセス」です。
ウイルス感染・不正アクセスが起こる原因として主に以下のものが挙げられます。
- フィッシングメール
- システム・ソフトウェアの脆弱性
- USBメモリの紛失
- 不適切なパスワード管理
また、ウイルス感染については企業内で厳重なセキュリティ対策をしていても、社員が自宅から持ち込んだ私物の機器を通じて感染するリスクも潜んでいます。
不正者の手口は年々巧妙化しており、海外から不正アクセスされる事例もあとを絶ちません。
よって、パスワードの管理やセキュリティ対策を怠らないようにしましょう。
不正アクセスについては以下の記事で解説していますので、ぜひ興味のある方はご覧ください。
【原因2位】誤表示・誤送信
原因別ランキング2位は、「誤表示・誤送信」です。
誤送信:本来の相手とは異なる宛先に個人情報を含むメールやFAXなどを誤って送信することです。
誤送信が発生する原因としての多くはヒューマンエラーによるものが多く挙げられます。
- BCC・CCの設定ミス(ヒューマンエラー)
- ファイルの選択ミス(ヒューマンエラー)
- システムの不具合(システム・環境要因)
これらの原因を防ぐためにも、ダブルチェックの義務化やチェックリストを活用しましょう。
【原因3位】不正持ち出し・盗難
原因別ランキング3位は、「不正持ち出し・盗難」です。
従業員が転職する際、転職先に顧客情報や技術情報を提供する「手土産転職」や怨恨を理由としたケースもあります。
盗難被害の例としては、以下のことが挙げられます。
- ノートPC・USBの置き引き
- 盗難目的でのオフィス侵入
- 社用車を狙った車上荒らし
PCやUSBの管理方法やオフィスへの入場方法などを明確にしておくことで防げる事故でしょう。
【原因4位】紛失・誤廃棄
原因別ランキング4位は、「紛失・誤廃棄」です。
HDDやUSBなど記録媒体の紛失も含まれるものの、個人情報が記載された書類や伝票など紙媒体の紛失・誤廃棄も多いことが特徴です。
個人情報を含む媒体を不必要な場面で持ち出すと、社外で紛失するリスクが大きくなってしまいます。
また、コロナ禍でテレワーク化が進み、自宅やカフェなどで作業する人が増えたことも紛失が起こるリスクを高めています。
カフェで仕事をする注意点について詳しく知りたい方は、以下の記事を参考にしてみてください。
このように、ヒューマンエラーによる情報漏洩の危険性はどの企業でも抱えている問題です。
次章では、情報漏洩のリスクを防ぐために効果的な情報セキュリティ教育を行う手順を解説します。
情報セキュリティ教育を行う5つの手順と注意点
ここからは、情報セキュリティ教育の5つの手順と注意点について解説していきます。
これから紹介する情報セキュリティ教育は、あくまで一例です。
- 【手順1】目的と学習テーマの設定
- 【手順2】対象者を選定する
- 【手順3】教育の実施頻度と時期を決定する
- 【手順4】教育の実施方法とコンテンツを準備する
- 【手順5】理解度を測るためのテストやアンケートを行う
それでは1つずつ詳しく解説していきます。
【手順1】目的と学習テーマの設定
情報セキュリティ教育の効果を最大限発揮するために、教育を行う目的と学ぶ内容の学習テーマを決めます。
具体的な教育を行う目的と学ぶ内容のテーマとして以下のようなものが挙げられます。
| 目的 | テーマ |
| セキュリティ事故の未然防止 | フィッシング詐欺・パスワード管理・情報セキュリティポリシーの理解など |
| ランサムウェア被害防止の教育 | 感染経路の理解・技術的対策・インシデント発生時の対応方法など |
| 個人情報漏洩リスクの教育 | 個人情報保護法の理解・情報管理方法・サイバー攻撃対策など |
目的とテーマを明確にすることで、学習の方向性が定まり、教育効果を最大限生かすことができます。
【手順2】対象者を選定する
次に情報セキュリティ教育を受ける対象者を選定します。
基本的には全従業員を対象としますが、業務内容や役職に応じて追加で情報セキュリティ教育を受ける必要もあります。
目的とテーマに合った対象者を選定しましょう。
【手順3】教育の実施頻度と時期を決定する
対象者を選定したら、教育の実施頻度と時期を決めましょう。
基本的には、年一回や四半期ごと定期的に実施しましょう。
また、インシデント発生時や社内ルール変更時など最新の情報に切り替わったタイミングに行うことも効果的です。
【手順4】教育の実施方法とコンテンツを準備する
次に、教育の実施方法と適切な知識やスキルを習得するためのコンテンツを準備します。
教育の実施方法には以下のものがあります。
- eラーニング
- 集合研修
- 外部セミナー
教育の重要度や学習テーマ、対象者に応じて適切な教育の実施方法を準備しましょう。
【手順5】理解度を測るためのテストやアンケートを行う
最後に情報セキュリティ教育で学んだ内容を理解度を測るためのテストやアンケートを行いましょう。
テストやアンケートを行うことで情報セキュリティに対する知識の定着度や従業員の意識の変化を確認できます。
情報セキュリティは常に変化するため、定期的に最新の教育を行い組織全体のセキュリティレベルを向上させましょう。
情報セキュリティ教育で全社員に必ず伝えるべき9のこと
ここからは、情報セキュリティ教育で全社員に必ず伝えるべきことを9つ解説していきます。
全社員に必ず伝えるべき内容として、
- PCを最新版にしておく
- 多要素認証(MFA)の導入
- 定期的なバックアップ
- パスワードは使いまわさない
- 勝手にソフトをインストールしない
- 業務情報や機密情報をSNSに書き込まない
- リモートの場合は決められた場所のみで行う
- 機密情報や書類を持ち出さない
- インシデント発生時はすぐ上司に報告する
が挙げられます。
それでは、1つずつ解説していきます。
1. PCを最新版にしておく
1つ目は、PCを最新版にしておくことです。
PCを最新版にしておくことは、ウイルス感染や不正アクセスの原因となるプログラムの欠陥を修正し、サイバー攻撃などの侵入口を塞ぐ最も効果的な対策です。
よって、全従業員には定期的にPCが最新版になっているか確認を行うように伝えておきましょう。
2.多要素認証(MFA)の導入
2つ目は、多要素認証(MFA)の導入です。
多要素認証(MFA)とは、知識情報と所持情報、生体情報など2つ以上の異なる種類の情報を組み合わせて本人確認を行う、安全な認証方法です。
多要素認証(MFA)を利用することで、IDやパスワードが漏洩してしまってもログインにほかの要素が必要なため不正ログインを防ぐことを伝えましょう。
3.定期的なバックアップ
3つ目は、定期的なバックアップを取ることです。
バックアップの目的は、もしもの時に備えてデータを復旧できる状態で保存しておくことです。
そのため、サイバー攻撃や災害・障害が発生した場合でも、バックアップを取っておくことで復旧することができます。
定期的にバックアップをとるように心がけることを伝えましょう。
4. パスワードは使いまわさない
4つ目は、パスワードを使いまわさないことです。
複数のサービスで同じパスワードを使用すると、1つのサービスで情報が漏洩した際に、ほかのサービスでも芋づる式に乗っ取られてしまいます。
そのため、各サービスごとにパスワードを変更するだけでなく、大文字・小文字・数字・記号を併用し複雑なパスワードにすることを伝えましょう。
5. 勝手にソフトウェアをインストールしない
5つ目は、勝手にソフトウェアをインストールしないことです。
公式ではないアプリや信頼できないソフトウェアには、ウイルスなどが含まれている可能性があります。
マルウェア感染により企業の機密情報を盗まれたり、システムが破壊する可能性があるので必ず確認を取ってからソフトウェアをインストールすることを伝えましょう。
また、マルウェア感染については以下の記事で詳しく解説していますので、気になる方は是非ご覧ください。
6. 業務情報や機密情報をSNSに書き込まない
6つ目は、業務情報や機密情報をSNSに書き込まないことです。
SNSに書き込むことで重大な情報漏洩に繋がる可能性があるため、絶対に書き込んではいけません。
SNSで一度拡散された情報は、二度と消えることがないため会社の信頼を守るためにも、社内のルールを徹底するよう伝えましょう。
また、企業のSNSによる情報漏洩の事例を紹介している記事もありますので、特にSNS担当者にはこの記事を共有しておくのがおすすめです。
7. リモートの場合は決められた場所のみで行う
7つ目は、リモートの場所は決められた場所のみで行うことです。
公共の場でのリモート作業は、画面の覗き見や会話の盗聴、PC・USBの盗難・紛失にも繋がります。
情報セキュリティ教育では、リモートワークができる場所を明確にし、全従業員に伝えるようにしましょう。
以下の記事でおすすめのリモートワークができる場所を紹介していますので、ぜひご覧ください。
8. 機密情報や書類を持ち出さない
8つ目は、機密情報や書類を持ち出さないことです。
機密情報や書類を許可なく持ち出すことは、紛失や盗難にあった場合に重大な情報漏洩のリスクを招いてしまいます。
もし、紛失してしまうと個人の責任にとどまらず、会社の社会的信用が失われ、多額の損害賠償を請求されてしまう可能性があります。
機密情報や書類を扱うときは、必ず社内のルールに従い徹底した管理を行うよう伝えましょう。
9. インシデント発生時はすぐ上司に報告する
9つ目は、インシデント発生時はすぐ上司に報告することです。
インシデントとは、マルウェア感染や不正アクセスなど企業の情報を危険にさらす「事件や事故」のことを指します。
情報セキュリティ教育では、大小関わらず、何か問題が発生した場合はすぐに報告することを伝えるようにしましょう。
また、個人で対応するのではなく、組織的な対応により迅速な封じ込め策を講じることが大切です。
実際に起きた情報セキュリティ事故とその対処法
ここからは、実際に起きた情報セキュリティ事故とその対処法について紹介します。
本章で紹介する事故は以下の通りです。
- 【事故1】USBメモリを損失で1,162名の個人情報漏洩
- 【事故2】ランサムウェアで約74万件の情報が流出
それでは、1つずつ詳しく見ていきましょう。
【事故1】USBメモリを損失で1,162名の個人情報漏洩
※引用:山陽新聞
ある病院で院内の別部署に測定データを移管する目的でUSBメモリに保存したところ、保存した次の日にUSBメモリを紛失してしまい、1,162名の個人情報が漏洩した事故がありました。
USBメモリの管理体制を明確にしていたら防げた事故かもしれません。
あわせて、万が一の紛失に備えたデータの暗号化やパスワードロックの義務化など、技術的な防壁を二重に築いておくことも大切でしょう。
【事故2】ランサムウェアで約74万件の情報が流出
※引用:日本経済新聞
外部からの不正アクセスによりランサムウェアに感染し、一時的なサービス停止と約74万件のお客様情報・一部のお取引先情報が漏洩する事故がありました。
本事故は、多要素認証を適用していないことが原因で不正アクセスされたと考えられています。
多要素認証を適用して技術的な対策だけでなく、同じ事故を起こさないように情報セキュリティ教育では社員1人1人のセキュリティ意識を向上させましょう。
情報セキュリティ教育に活用できる資料一覧
ここでは、日本政府やその関連機関が提供している情報セキュリティ教育に活用できる資料を紹介します。
以下の資料では、情報セキュリティ教育の基礎から実用的な内容までまとめられています。
- 国民のためのサイバーセキュリティサイト(総務省)
- 情報セキュリティ・ポータルサイト(IPA)
しっかりと内容を確認して、自社の研修目的に合った資料を活かしましょう。
国民のためのサイバーセキュリティサイト(総務省)
※引用:総務省
1つ目は、総務省が運営する「国民のためのサイバーセキュリティサイト」です。
初心者のセキュリティ対策からセキュリティ事故・被害の事例と対処法など幅広い分野を扱っています。
また、企業で活用する場合は、システムを利用する人、管理する人、経営層向けの立場別のセキュリティ対策教材がありますので、教育者に合った教材を選定し、セキュリティ教育に活用してみましょう。
情報セキュリティ・ポータルサイト(IPA)
2つ目は、独立行政法人情報処理推進機構(IPA)が運営する「情報セキュリティ・ポータルサイト」です。
分野ごとに細かく多くのパターンの説明がされているのが特徴です。
また、教育後にクイズとチェックシートでセキュリティレベルを図ることができるため、知識の定着度を確認することもできます。
情報セキュリティ教育と併せてセキュリティサービスの導入も必要!
巧妙化するサイバー攻撃から企業を守るためには、情報セキュリティ教育による社員1人1人の意識向上だけでなく、技術的なセキュリティサービスの導入が不可欠です。
セキュリティサービスによる自動的な検知は企業を守るうえで大きな支えとなります。
そこで今回紹介するセキュリティサービスは、当サイトを運営するCaccoの不正検知サービス「O-PLUX」について詳しく解説していきます。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
情報漏洩対策のセキュリティサービスならCaccoの「O-PLUX」が有効
情報漏洩対策の技術的なセキュリティサービスには、Caccoの「O-PLUX」が有効です。
「O-PLUX」は、国内で最も導入されている不正検知サービスで、特に高い検知精度により日々巧妙化している手口にも対応することができます。
※参考:Cacco Inc.
「O-PLUX」がどのように不正を検知しているかは、以下の画像をご覧ください。
※参考:Cacco Inc.
※参考:Cacco Inc.
情報セキュリティ教育で従業員1人1人の意識向上と技術的なセキュリティサービス「O-PLUX」を併用してみてはいかがでしょうか?
「O-PLUX」について少しでも興味を持たれた方がいましたら、ぜひ以下をクリックしてお気軽にお問合せください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
まとめ
この記事では、情報セキュリティ教育の必要性について教育方法の手順や実際に起きたセキュリティ事故の対象法を紹介しながら解説してきました。
情報セキュリティ教育は、社会的信用や金銭的損失を防ぐために必要です。
また、不正アクセス対策やウイルス対策ソフトなどの技術的な対策だけでは防ぎきれない、「ヒューマンエラー」を防ぐために情報セキュリティ教育は必要とされています。
しかし、技術的な対策を怠ってはいけません。
そこで本記事では、技術的なセキュリティ対策としてCaccoの不正検知サービス「O-PLUX」を紹介しました。
「O-PLUX」でセキュリティ対策をしてほしいとお考えのEC事業者様は、ぜひ以下をクリックしてお気軽にお問合せください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
