東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

教育計画を作成する

セキュリティの重要な取り組みの一つに、教育があります。各種対策を行なっても、日々の業務の中で人による間違いや認識違いといったことが起こり得ます。これらを起こさないために、セキュリティ対策への理解を深め、組織の人員の意識を高めることが求められます。

Point① 教育タイミングの検討

教育を行う際には、どのタイミングで行うかが重要なポイントです。効果的に理解度を上げていくためにも、適切なタイミングはいつなのかを考えましょう。また、繁忙期を避けるなど、参加しやすいタイミングを考慮することも必要です。

教育タイミングの例

タイミ
ング		 実施内容
入社時 新卒・中途に関わらず社員が入社した際に行います。一般的には会社のルールや業務内容の説明などと一緒に行うケースが多いです。入社時研修では適度な緊張感もあり、基本ルールを習得させるには最適です。細かい点は配属後でも良いですが、会社全体の「やらなければならないこと」と「やってはいけないこと」を明確に指導します。
部署・業務異動時 部署や業務が変わると取り扱う情報資産も変わることがあります。情報資産ごとにその価値と取り扱いルールを徹底させるため、部署異動や業務変化が発生した際には教育が必要です。この場合は部門内での教育とすることもできます。外部とやり取りをすることが多い部署・業務の場合、応対の仕方や問い合わせへの受け答え方なども指導します。
昇進
役割変更時		 今までと立場が変わるので、セキュリティに対して求められる責任が変化します。役割や責任と権限などがどのように変わったのかを理解させるために指導します。
期初、期末
四半期毎など		 会社の区切りの時期は目標などの基本姿勢を再認識させるのに最適です。期初にはスローガンや目標・計画などを元に教育を行い、期末であれば振り返りを行います。
定例・定期 日常において日々意識をつけるため、定例会や定期勉強会などを行います。ただし、毎回同じ内容を繰り返すと形骸化するため、内容の変更など行いながら実施します。

Point② 教育内容の検討

何を教育するのが良いかを検討します。これはリスクアセスメントなどの結果、内部監査やヒヤリハットなどの状態から教育内容の検討を行う必要があります。

教育内容の例

方針や関係規程の周知を目的とした教育 脅威と対策に関する教育
  1. 求められる役割とその役割で行うべき対応
  2. 資産管理台帳を元にした資産の取り扱い方
  3. 機密情報や個人情報の取り扱い注意事項
  4. 情報やパソコンの持ち出し方および注意事項
  5. ソフトウェアインストールのルールや注意事項
  6. 遵守事項、禁止事項、推奨事項の理解
  7. 守らなかった場合の対応について
  1. ウイルス感染した場合の影響などの理解
  2. 感染経路など注意点の理解
  3. メール利用時の注意事項
インシデントや緊急時の対応に関する教育
  1. 事故発生時のフローの理解
  2. 事故発生時の対応訓練

Point③ 教育対象者を定める

教育を誰に対して行うかは内容と合わせて考える必要があります。教育が必要な人は誰なのかを明確にして実施することで効果が高まります。

全社員

会社のルールなどを教育するときは全社員が対象となります。また、目標や振り返りなども全社員が理解できるように取り組みましょう。

特定の社員

入社や異動・昇格では特定社員のみが対象となります。対象者の属性を整理し誰に対して行うのかを明確にする必要があります。

セキュリティ担当者

セキュリティ担当者としてセキュリティの理解を上げるための教育を実施します。チーム内の勉強会や外部のセミナー受講などを行います。

Point④ 適切な教育方法を検討する

教育内容、教育対象者が決まったら教育方法を検討します。求める理解度や受講のしやすさなどを考慮して検討します。

方針や関係規程の周知を目的とした教育

講義やe-learningで教育を行います。また、時間が取れない場合には、規程を読むという方法もあります。理解度を把握するためにはテストなどを行います。

脅威と対策に関する教育

講義やe-learningという方法だけでなく、デモンストレーションなど実際に確認・体験する方法も有効です。実際に体験することで理解度が上がり、意識が向上します。

インシデントや緊急時の対応に関する教育

インシデント対応の模擬訓練などが効果的です。標的型メール訓練では開封時にエスカレーションまで実施するなどをします。セキュリティ担当者が初動対応まで実施するとより効果が得られます。

Point⑤ 教育の計画を作成する

教育を行う際の計画では主に以下のような項目について検討を行います。

教育計画書の記載項目の例

項目 内容 記載の例
目的 教育をする目的
長期的なPDCAに影響		 メールからのウイルス感染リスクを軽減する
目標 数値で置けるような目標
短期的なPDCAに影響		 開封率10%以下
開封者のエスカレーション100%
スケジュール 教育の実施期間 yyyy/mm/dd ~ yyyy/mm/dd
講師の調整 講義形式などの場合の講師 今回は講師なし
コンテンツ・内容 主な研修の内容 標的型メール訓練サービスを利用
開催方法 開催方法 yyyy/mm/ddに訓練メール配信
評価方法 到達度の評価方法 開封に伴うシステムログ、エスカレーション記録

計画書は責任者、経営層により承認されて実行します。また、今回の例のように予算が必要な場合には余裕を持って計画を作成しましょう。

ミニワーク
~考えてみよう~
従業員のセキュリティレベルを高める
セミナー9日目TOP