ウイルス被害や情報漏えい事件が報じられるたびに強調されるのが,企業におけるセキュリティ教育の重要性である。情報セキュリティに関する損失から企業を守るには,技術的な対策だけでは不十分である。ユーザー一人ひとりのセキュリティ意識を向上することが不可欠である。そこで今回は,企業におけるセキュリティ教育の現状と課題について考えたい。
一般ユーザーにはWBTが有効
まずは,一般ユーザー向けのセキュリティ教育について考える。これについては,多くの企業で実施されているようだ。情報セキュリティ・マネージメントの認証であるISMS認証でも,全社員(全ユーザー)に定期的にセキュリティ教育を受けさせること,その記録を残すことを義務付けている。
筆者が知る限りでは,Webを利用したオンライン教育,いわゆるWBT(Web Based Training)を利用する企業が多い。
講師を招いて,セキュリティに関する講義を実施する方法もあるが,社員数が多い企業では大掛かりになってしまう。収容人員が多い場所を確保しても,一度には実施できないだろうから,数回に分ける必要があるだろう。そうなると,講師を複数名用意する必要がある。中小規模の企業では,一度に実施できるとしても,コストの面から,実施するのはなかなか容易ではないとの話を聞く。また,社員としても,業務で忙しい中,スケジュールを合わせて講演会場まで出向かなくてはならない。
一方,WBTではその必要はない。一定期間内の都合がよい時間に受講すればよい。筆者が所属するNECソフトでも,定期的にWBTによるセキュリティ教育を実施している。自分のスケジュールに合わせてセキュリティに関する学習が可能なので,社員からの評判は悪くない。
また,WBTでは講師を招いたり,場所を確保したりする必要がないので,比較的低コストで実現できる。WBT用のコンテンツを購入して,自社のWebサーバーで実施する方法もあるが,ASPサービスを利用するほうが容易である。WBTのASPサービスは多くのベンダーが提供している。ASPサービスを利用すれば,社員にはアカウントとアクセス先のURLさえ通知すればよいので,管理者の手間はほとんどかからない。
コンテンツ(サービス)によって違いはあるが,WBTの概要を知ってもらうために,NECソフトのWBTを簡単に紹介しよう。まず,社員には,WBT用のアカウントを通知する。そして,設定された期間内(1カ月程度)に,WBT用サーバーにインターネット経由でアクセスして受講する。コンテンツは5あるいは6章から構成されていて,それぞれの章の最後には,理解度を図るための試験が用意されている。この試験で満点を取らないと,次の章には進めないようになっている。
すべての章を修了するのに要する時間は2時間程度である。ただし,途中で止めて,続きを後日受講することもできる。これも,WBTの利点である。また,各社員の進捗状況が記録されるので,管理者はどの社員がどこまで実施しているのか,どの程度理解しているのかがひと目で分かる。
WBTのコンテンツには,「メールやWebの利用方法」や「ウイルスに感染したときの対処方法」といった一般的なセキュリティに関するものと,「セキュリティ・ポリシーの解説」といった自社特有のセキュリティに関するものがある。後者は,自社に合わせたコンテンツ作成あるいは既存コンテンツのカスタマイズが必要となるので,現在では前者を利用する企業がほとんどである。しかし,後者を利用する企業も最近では増えている。
プロフェッショナルと経営陣向けの教育が課題
現場では,業務で情報セキュリティに携わる人材の教育にも苦労している。一口に“業務で情報セキュリティに携わる人材”といっても,さまざまである。例えば,
- セキュリティ・コンサルタント
- セキュリティ・システムを構築するSE
- セキュリティ製品の開発者
現在,セキュリティに関する公的な資格として「情報セキュリティアドミニストレータ」があるが,これを取得するための学習は,セキュリティに携わる人材の教育手段にはなりにくい。情報セキュリティアドミニストレータは,主に情報システムのユーザーを対象とした資格だからだ。取得のための学習が,セキュリティに携わる人材の教育になるような資格が今後求められる。そうすれば,その資格の有無で,スキルを計ることもできる。
現在のところ,そのような資格は存在しない。しかし,情報処理振興事業協会(IPA)が2003年4月に公開した「セキュリティ・スキル・マップ」に沿った資格が作られれば,セキュリティに携わる人材の教育や評価に利用できると筆者は考える。
セキュリティ・スキル・マップとは,情報セキュリティ・プロフェショナルに必要な知識や技術を16の項目にまとめたものである。例えば,「情報セキュリティポリシー(情報セキュリティマネジメント)」や「ネットワークインフラセキュリティ」といった項目がある。それぞれの項目を5段階(レベル1~レベル5)で評価することで,対象とする人物のセキュリティに関するスキルを総合的に評価できる。
国が,例えば「セキュリティ・コンサルタント」という資格制度を作り,これを取得するには,「情報セキュリティポリシーがレベル5,ネットワークインフラセキュリティがレベル4などを満たす必要がある」とすれば,この資格を取得するための勉強が効果的なセキュリティ教育となり,資格の有無がスキルの客観評価に利用できるだろう。
もう一つ,筆者がよく耳にするのが,経営陣向けのセキュリティ教育の難しさである。筆者がユーザー企業に訪問すると,「上司(経営者や幹部)にセキュリティについて説明してほしい」とよく言われる。情報セキュリティは企業全体で取り組まないと効果がない。ところが,肝心の経営陣が,セキュリティの重要性について理解していないというのだ。
情報セキュリティ・プロフェショナル向けの教育同様,経営陣向けの教育は難しい。ベンダーが経営陣向けのセキュリティ教育サービスを用意しても,必要性を理解していないのだから,経営陣がコストをかけて利用するとは考えにくい。賛否両論あるだろうが,筆者としては,国が経営陣向けの教育を実施する機関を用意してもよいのではないかと考える。
企業全体,ひいては社会全体のセキュリティ・レベルを上げるためには,一般ユーザーだけではなく,セキュリティ・プロフェッショナルや経営陣の意識を高める必要がある。
小杉 聖一 (KOSUGI Seiichi) 
NECソフト株式会社 ITソリューション事業部
iネットソリューション部
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
