情報セキュリティの意識向上、
教育及び訓練
組織のセキュリティを向上させ、人の脆弱性を無くしていくための対策が教育です。情報セキュリティ教育の責任者や教育担当者(教育の実施者)を定め責任を明確にしつつ、従業員の理解度を上げていくことが重要です。
Point① なぜ教育を行うのか?
情報セキュリティ教育の目的のひとつに、情報セキュリティ基本方針や情報セキュリティ規程を周知し、理解してもらうことがあります。特に、入社時などは理解ができていないため、しっかりと教育を行うことが重要です。
情報セキュリティ対策を適切に実践するためには、情報セキュリティ規程に書かれている内容を理解するとともに、何のために情報セキュリティ対策が必要かという理解がないと、セキュリティ対策に対するモチベーションが高まりません。そこで、情報セキュリティ対策における脅威と対策についても併せて教育します。
規程・指針・指標・マニュアルを理解し行動できるようにする
Point② 教育方法を選択し理解を深める
教育の提供はいろいろな方法が選択できます。目的や勤務状況や形態、学ぶべき内容などにより使い分けていきましょう。
集合学習
従業員が集まって教育を受ける形態です。全員が同じ内容を受講するため、内容の齟齬が出づらく、一体感を高め、意識を向上しやすくなります。
E-learning
現在のリモートワークなどに対応した形態です。個人のペースで進めながらも、受講進捗を把握したり、実施状況がわかりやすいという効果もあります。
個人学習
規程を読む、資料を読むなどの形態です。一体感が出ず、個人のもともとの意識により理解度が影響されます。自由な時間でできるため、意識がある人にとっては有益です。
毎回同じ教育方法では飽きてしまう場合もあります。受講者が興味を引き、積極的な受講となるような仕掛けをしていくことも重要です。
情報セキュリティの意識を向上させ、教育及び訓練の対象となるのは、従業員だけではありません。セキュリティ担当者や各責任者こそ積極的にセキュリティ教育や訓練を受けていく必要があります。
Point③ セキュリティ担当者の成長
組織のセキュリティ向上には中心となるセキュリティ担当者の成長が欠かせません。セキュリティ担当者が率先して教育や訓練を受け、従業員へ還元していくことが重要です。
日々インプットしていく情報の例
One point
IPA(独立行政法人情報処理推進機構)が公開している情報セキュリティ対策支援サイトは、情報セキュリティ対策を「知りたい」「学びたい」「始めたい」「強化したい」方々と、 それを後押しする方々の活動をサポートします。このサイトではそれぞれの役割(経営者、対策実践者、従業員、啓発者/教職員、一般/学生)に合わせて、情報セキュリティ対策を進めることができます。
-
<内容>
- 情報セキュリティ診断
- 5分でできる!ポイント学習
- SECURITY ACTION自己宣言者サイトなど
出典:IPA(独立行政法人情報処理推進機構)
情報セキュリティ対策支援サイト
https://security-shien.ipa.go.jp/
こんな事例も
セキュリティ担当者も日々情報のアップデートやトレーニングが重要です。
ある会社では、避難訓練や防災訓練と同じように、インシデント対応訓練を行っています。被害を少なくするための行動を手順書化するだけでなく、有事の際にも慌てないで、対応できることを目指しています。9月1日に防災の日として防災訓練をするように、内閣サイバーセキュリティセンターが設定しているサイバーセキュリティ月間(2月1日から3月18日)の中でインシデント対応訓練を行っています。
訓練を行うことで、自分たちが足りていない知識やスキルもわかってきたため、外部に委託する箇所や自分たちが教育を受ける箇所も明確になり、成長のための行動をとっています。