東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

従業員の
セキュリティレベルを高める

従業員のセキュリティを高めるためには、教育や訓練をすることが重要です。まとめて実施するようなケースもあれば、日々の情報共有からセキュリティの意識を高めることも可能です。

Point① 研修の方法を工夫し効果を高める

教育の方法は計画書作成の段階で検討されます。効果を高めるため、最善の方法を検討する必要があります。その中で工夫し、より高い効果を狙います。

セキュリティ教育の例
セキュリティ担当者が全従業員に教育を行うのではなく、一部の受講者(部門管理者など)に行います。講義を受講した人が部門内で講義を行うことで、部門管理者の理解を高めるとともに、部門特有のセキュリティなどに特化した話ができ、理解度が高まりやすくなります。
セキュリティ教育の例

Point② テストを行い理解度を把握する

セキュリティ教育の理解度を把握する方法として、テストが広く利用されています。集合型、e-learningなどでは、教育して終わりではなく、テストをするなどして理解度を把握しましょう。

理解度テストの例

テスト問題の例 回答方法の例
自社のヒヤリハット件数で一番多いのは誤送信である。 ○ or ×方式での回答
事故の可能性がある際の正しい連絡先はどこか? 選択問題(4択程度)
なぜセキュリティに取り組むのか? 記述式回答にて回答

テストには、現状を把握する目的で行うテストと教育の理解度を把握するために行われるテストの2種類が存在します。どちらの目的でテストを行うかを意識し、問題を設定することが重要です。現状を把握する目的で行うテストでは、全般的に広く出題することや世間とのレベルの乖離などを把握するため、市販の問題を利用することも有効です。反面、テストの理解度を把握する場合には、教育内容に即した問題を出題する必要があり、自社で作成する方が目的に沿っていると言えます。

Point③ プラス・セキュリティ人材を育成する

セキュリティ担当者だけでなく、デジタル部⾨や事業部⾨・管理部⾨等においてセキュリティを意識し、業務遂⾏に伴うセキュリティ対策の実施に必要な能⼒を備える⼈材の確保や育成も重要です。DXなどを進めるに当たり、事業部門でシステム開発やリスクアセスメントを行うような人材の場合、セキュリティに関する意識を養い、対策の実施に求められる知識・スキルを積極的に身につけてもらう必要があります。自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力を身につけること、あるいは身につけている状態のことを、「プラス・セキュリティ」と定義されています。
従業員のリテラシーを高めるだけでなく、主たる業務を持ちながらセキュリティの取り組みに協力し、スキルや知識を持った「プラス・セキュリティ」人材を育成していくことも重要です。

出典:経済産業省
「サイバーセキュリティ体制構築・人材確保の手引き 」をもとに作成
https://www.meti.go.jp/policy/netsecurity/tebikihontai2.pdf

Point④ セキュリティ担当者が教育を行う

従業員の教育を行う場合には、セキュリティ担当者が講師として教育を行うケースも珍しくありません。より効果的に従業員を教育するためにはどのような点に気をつければ良いのでしょうか?

STEP1

  1. 教育の目的と目標の明確化
    1. 教育・訓練の対象範囲を設定する
    2. どのような課題を解決するための教育なのかを具体的に示す
    3. 何が実現すれば今回の教育が成功したと言えるかを定める

STEP2

  1. 教育実施方法の明確化
    1. 教育内容・利用コンテンツ・テキストを具体的に示す
    2. 時間配分と時間内で行うことを具体的に示す

STEP1・2は主に計画書で定めておく内容です。ただし、STEP2の利用コンテンツやテキストなどは計画後に定めても問題はありません。また、時間配分等はテキストなどが決まった後に考えていきます。

STEP3

  1. 教育の周知
    1. 教育内容・方法に合わせて対象者に周知する
    2. 参加できない場合のフォローを案内する
    3. 参加率を上げるために、リマインドなどの工夫をする

教育の場があることを周知します。シフトなどで業務調整が必要な場合には1ヶ月程度前から周知しておくことが望ましいと言えます。

STEP4

  1. 教育の実施
    1. 計画に基づき実施する
    2. 聞かせるだけでなく、考えさせる工夫をする
      計画はSTEP2で決めておきますが、実際に講義形式で行う場合には、時間いっぱい聞いてもらうだけでは知識として定着しません。周りの人と会話をしてもらう、グループワークをするなど、声に出す・体験する・考えるといった動きを講義内に盛り込むことで理解度が上がります。
    3. テストとアンケートをする
      理解度を図るためのテストを行うだけでなく、講師の話し方、テキストの内容などについてアンケートを取得すると、次回のコンテンツに対しての検討材料となります。

教育を行います。従業員が多い場合には複数回に分けて行い参加率を高めます。従業員が従業員に教育をする場合には、受講者に緊張感を持ってもらうことが重要です。教育前に経営層から一言もらうなどの方法があります。

STEP5

  1. 不参加者へのフォロー
    1. フォローアップで教育を行う
    2. 個人対応してもらいテストを実施する

不参加者が出ることも想定して計画を考えることが重要です。特に連続して不参加の人は個別フォローするなどの対応をしましょう。

教育計画を作成する
担当者のセキュリティスキルを高める
セミナー9日目TOP