セキュリティに関する事件,特に情報漏えい事件を防ぐには,社員に対するセキュリティ教育が重要である。どんなに高価な装置やソリューションを導入しても,社員のセキュリティ意識が低ければ効果はない。とはいえ,一口に“セキュリティ教育”と言っても,どう施せばよいのか,どういった内容を周知させればよいのか分からない場合が多いだろう。そこで,今回の記事では,筆者の経験を基に,セキュリティ教育の具体的な内容を解説したい。

オンライン教育が現実解

 そもそも,セキュリティ教育の目的は何だろうか。もちろん,企業全体のセキュリティ・レベルを高めることだが,もう少し具体的に言うと「社員全員に企業のセキュリティ・ポリシーを周知させること」にほかならない。

 企業が全社的なセキュリティ対策を実施するには,その企業の業務に合ったセキュリティ・ポリシーを作成することが不可欠だ。そして,ポリシーを適切に運用することで,企業のセキュリティ・レベルは向上する。

 セキュリティ・ポリシーを社員に守ってもらうためには,まずは周知させなくてはならない。ポリシーを記述した紙や冊子を配布しただけでは当然不十分である。ポリシーを読ませ,なおかつ内容を理解してもらう必要がある。そのために実施するのが,セキュリティ教育である。

 セキュリティ教育の対象者は社員全員である。このため,担当者が社員一人ひとりに説明して回ることは現実的ではない。実際のセキュリティ教育としては,以下の2つの方法が考えられる。

(1)集合教育:対象者をある場所に集めて同時に教育を施す
(2)オンライン教育:対象者それぞれがオンラインでアクセスできる教育コンテンツを用意する

 集合教育を実施するのは,企業規模が大きくなればなるほど大変な作業となる。まず,時間や実施場所を確保することが難しい。加えて,講師も準備しなければならない。

 一方,オンライン教育ではこれらの課題はない。このため,ある程度以上の規模の企業では,オンライン教育のほうが実施しやすい。実際,以前の記事にも書いたが,筆者が所属するNECソフトでは,オンライン教育を実施し,成果を上げている。そこで以下では,オンライン教育――特に,WBT(Webを利用したオンライン教育)――に絞って,話を進める。

教育コンテンツの具体例

 弊社では,数年前から年に2回程度WBTによるセキュリティ教育を実施している。その結果,新人社員はもちろんのこと,一般社員や管理職のセキュリティ意識は確実に向上していると筆者は感じている。

 弊社が実施しているWBTでは,教育コンテンツは5あるいは6章で構成され,1つの章は2時間程度で完了するようにしている。期間中(1カ月程度)ならば好きな時間に実施できるので,100%の実施率を実現している。

 次に,コンテンツの内容の一部を紹介しよう。セキュリティ教育の目的は「セキュリティ・ポリシーの周知」と書いたが,実際には,前半では日ごろの業務に関係したセキュリティの一般的な注意点を解説している。そして,それぞれの章の最後で,「弊社独自のセキュリティに関する方針=セキュリティ・ポリシー」をできるだけ分かりやすく説明している。いきなりセキュリティ・ポリシーの内容を長々と解説するよりも,こういった構成にしたほうが一般のユーザーには分かりやすいだろう。

 コンテンツの内容は,「情報セキュリティ」「個人情報保護」「インターネット利用」――の3つに大別できる。それぞれの主な項目を以下に列挙する。なお,以下の項目は,オンライン教育に限らず,集合教育でも説明すべき内容である。

(1)情報セキュリティ

  • 情報セキュリティとは何か
  • ウイルス脅威について
  • インターネット侵入について
  • 情報流出はこうして起きる
  • 重要な情報資産を守るために
  • 当社の取り組み(方針,規定)

(2)個人情報保護

  • 個人情報保護の重要性と種類
  • 保護されるべき個人情報
  • 意識を高める認定制度
  • 企業としてやるべきこと
  • 当社の取り組み(方針,規定)

(3)インターネット利用

  • インターネット利用のために
  • 電子メールの基本
  • ビジネスメールの書き方
  • 電子メールの送受信
  • 電子メールのセキュリティ対策
  • Webアクセスの基本
  • アクセスしてはいけないコンテンツ
  • Webアクセスのセキュリティ対策

 それぞれの詳細は割愛するが,例えば「個人情報保護」では,「個人情報とは,個人に関する情報で,個人を識別,特定できる情報」と解説し,社員それぞれに「個人情報とは何か」を正確に理解させる。そして,「個人情報が流出すると,顧客に対して取り返しのつかない被害を及ぼすことがある」といった具合いに,できるだけ分かりやすく,具体的に説明する。これについては,「個人情報保護」の章に限らず,いずれの章でも共通している。

 また,コンテンツを単に読ませるだけでは,なかなか理解は深まらない。そこで,各章の最後には,「確認試験」を用意している。試験といっても,その章の内容を理解していれば簡単にクリアできる内容である。この試験で一定以上の得点を取らないと,次の章には進めないようにしている。

即効性はない,できるだけ早く始めよう

 以上のようなセキュリティ教育を,4月に入社する新入社員に実施すれば,配属後すぐにセキュリティ対策を実施できる。また,全社員に対して定期的に実施することで,日ごろはセキュリティに関心のない社員にもセキュリティの重要性を認識させられる。その結果,個人情報を流出してしまうようなリスクを大きく減らせるだろう。

 ただし注意してほしいのは,セキュリティ教育はすぐに効果が出るものではないということだ。今まで全くセキュリティに対する取り組みがなかった企業が,一回WBTを実施したからといって,いきなりセキュアな会社になるわけではない。数年にわたって繰り返し実施することで,各社員に徐々にセキュリティの重要性が浸透していき,企業全体のセキュリティ・レベルが向上していくのである。

 情報漏えい事件は後を経たない。また,2005年4月には個人情報保護法が施行される。もはや「これが個人情報だとは知らなかった」では済まされない。社員に対して,個人情報保護を含めたセキュリティ対策を周知徹底させるのは,企業の義務である。自社で教育コンテンツなどを用意できない場合でも,すぐに実施できるセキュリティ教育サービスを各セキュリティ・ベンダーが提供している。まだの企業は,できるだけ早くセキュリティ教育を実施してほしい。


小杉 聖一 (KOSUGI Seiichi) kosugiアットマークmxd.nes.nec.co.jpNECソフト株式会社 プラットフォームシステム事業部
ブロードバンドシステムG

 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。