地図
情報セキュリティ教育とは?定義と取り扱うべき内容について紹介
情報セキュリティ教育とは、セキュリティ事故を未然に防ぐための教育です。
主に、以下のような内容を学びます。
l マルウェア感染
l 情報漏洩
l サイバー攻撃
これらの事故を防ぐためには、ウイルス対策やセキュリティ製品を導入するだけでは十分ではありません。
従業員のセキュリティリテラシーや危機意識を高めることが大切なのです。
そこで本記事では、情報セキュリティ教育の定義と必要性、そして教育すべき内容について詳しく解説します。
情報セキュリティ教育とは?
情報セキュリティ教育とは、従業員のセキュリティ意識やセキュリティリテラシー*を高めるために行われる教育のことです。
*セキュリティに関する基本的な知識を身につけ、インターネットなどのデジタルツールを安全に活用する能力
マルウェア感染や情報漏えいなど、セキュリティ関連の事故を未然に防ぐことにつながります。
近年、サイバー攻撃の増加に伴ってセキュリティ製品を購入する企業が増加していますが、そのような製品の購入だけでは対策として不十分です。
従業員にどのような脅威が存在するのか、何がきっかけで事故が発生するのかを知ってもらった上で、具体的な予防策や対策法を教育して従業員のセキュリティリテラシーを高めることが大切です。
情報セキュリティ教育の必要性
下記の表は、情報漏えいや紛失事故の年次推移を表したものです。
【漏えい・紛失事故 年次推移】
|
年 |
情報漏えい・紛失事故件数 |
|
2012 |
71件 |
|
2013 |
107件 |
|
2014 |
70件 |
|
2015 |
87件 |
|
2016 |
89件 |
|
2017 |
90件 |
|
2018 |
85件 |
|
2019 |
86件 |
|
2020 |
103件 |
|
2021 |
137件 |
|
2022 |
165件 |
|
2023 |
175件 |
出典:株式会社東京商工リサーチ「2023年の『個人情報漏えい・紛失事故』が年間最多 件数175件、流出・紛失情報も最多の4,090万人分」
この図を見ると、情報の漏えい・紛失事故が年々増加傾向にあることが伺えます。
これらの漏えい・紛失事故の原因の内訳は、下記のとおりです。
【2023年 情報漏えい・紛失 原因別】
|
原因 |
割合 |
|
ウィルス感染・不正アクセス |
53.1%(93件) |
|
誤表示・誤送信 |
24.5%(43件) |
|
不正持ち出し・盗難 |
13.7%(24件) |
|
紛失・誤廃棄 |
8.5% (15件) |
出典:株式会社東京商工リサーチ「2023年の『個人情報漏えい・紛失事故』が年間最多 件数175件、流出・紛失情報も最多の4,090万人分」
これらの原因を見てみると、従業員の知識不足やセキュリティ意識の低さなど、ほとんどがヒューマンエラーで起こっていることが分かります。
つまり、従業員に情報セキュリティ教育を行うことにより、情報漏えいや紛失を防げる可能性が高まるということです。
企業や組織が情報を漏えいあるいは紛失したことが発覚すると、以下のようなさまざまなリスクが発生します。
l 社会的な信用の失墜
l クライアントや消費者への損害賠償や調査など莫大な費用の支払い
l 風評被害による企業価値の低下
l 顧客からの受注案件の減少
最悪の場合、経営が悪化して倒産に追い込まれるケースも決して少なくありません。
このような事態を防ぐためにも、情報セキュリティ教育の必要性を理解し、従業員を教育する機会を設けることが大切なのです。
情報セキュリティ教育で教育すべき内容
前章では、情報セキュリティ教育の必要性について説明しましたが、いざ実施しようとしても、どのような内容を教育すればいいのか分からない方も多いかもしれません。そこで本章では、それぞれの教育内容について詳しく解説します。情報セキュリティ教育を導入する際に、ぜひ参考にしてください。
情報セキュリティ教育で教育すべき内容は、下記のとおりです。
l パスワード管理の重要性
l 電子メール誤送信の恐ろしさ
l バックアップの重要性
l ウイルス対策の重要性
l 安全な無線LANの選び方
l SNSの正しい使い方
l 個人情報保護の重要性
l 標的型攻撃メールの対処法
それでは、一つずつ詳しく見ていきましょう。
・パスワード管理の重要性
パスワードの管理が疎かになってしまうと、機密情報の漏えいにつながってしまう可能性が高まるため、パスワード管理の重要性について教育することが大切です。
【パスワード管理の重要性に関する教育内容の具体例】
l 適切な管理方法
l 安全なパスワードの作成方法(例:数字とアルファベットを混在させるなど)
l 複数のサービスで同じパスワードを使い回さない
l 定期的にパスワードを変更する
・電子メール誤送信の恐ろしさ
前章でも紹介したように、電子メールの誤送信による情報の漏えいや紛失は少なくありません。
そのため、下記のような内容を教育することが望ましいでしょう。
【電子メールの誤送信の恐ろしさに関する教育内容の具体例】
l オートコンプリートに頼りすぎることの危険性
l 「CC」と「BCC」の正しい使い分け方
「オートコンプリート機能」とは、文字入力を補助するための機能です。例えば、メールアドレスの最初の部分を入力すると、後に続く部分はこれまでの履歴から予測して自動で入力してくれます。
便利な機能ではありますが、宛先をよく確認しないと誤送信してしまう恐れがあるため、注意が必要です。
また「CC」と「BCC」に関しても、使い方を誤ってしまうとメールの受信者全員のメールアドレスが知られてしまうため、注意しなければなりません。
電子メールは「宛先」をしっかり確認してから送信することで、誤送信が減って結果的に情報漏えいのリスクを軽減することにつながります。
・バックアップの重要性
パソコンを安全に使用するためには、定期的にバックアップを行う必要があります。
下記のように、バックアップの方法やその後の取り扱い方について教育しましょう。
【バックアップの重要性に関する教育内容の具体例】
l 自社で活用するバックアップ方法(例:記憶媒体、外付けハードディスク、オンラインストレージ)
l バックアップした後の取り扱い方(例:記憶媒体の保管法、社外持ち出しのルール)
・ウイルス対策の重要性
社内ネットワークを保護するためには、ウイルス対策の重要性について教育することも大切です。
【ウイルス対策の重要性に関する教育内容の具体例】
l ウイルス対策ソフトをパソコンにインストールして常にウイルス検知用データをアップデートする
l 定期的にウイルススキャンを実行して安全性を確認する
l 許可されていない記憶媒体は使用しない
l USB媒介ウイルスの対策法(例:ファイルを開く前にウイルスチェックを実施する)
・安全な無線LANの選び方
特にテレワークを導入している企業は、安全な無線LANの選び方についても教育することが望ましいでしょう。
安全性が低い公衆無線LANに接続してしまうと、下記のようなリスクが高まるためです。
l 他の端末からの不正アクセス
l 利用者のなりすまし
l 不正なアクセスポイントによる通信傍受
下記のような内容を取り扱いましょう。
【安全な無線KANの選び方に関する教育内容の具体例】
l 安全な無線LANの選び方
l 社外から接続する際の社内ファイルの取り扱い方
・SNSの正しい使い方
情報の流出や企業イメージの失墜につながることから、従業員に正しいSNSの使い方を身につけてもらうことも大切です。
【SNSの正しい使い方に関する教育内容の具体例】
l SNSの規約やルールに従って利用すること
l 自分のアカウントを適切に管理すること
l 企業イメージを傷つけるような内容、個人情報を晒すような内容は投稿しないこと
・個人情報保護の重要性
個人情報保護の重要性については、業務や役職に関係なくすべての従業員を対象に実施すべきコンテンツです。
程度の差はあるものの、どのような企業であっても顧客や取引先、従業員などの個人情報を取り扱っているためです。
下記のような内容を教育しましょう。
【個人情報保護の重要性に関する教育内容の具体例】
l 個人情報保護法の概要
l 個人情報保護法に違反した場合の罰則内容
l 情報が社外に流出・漏えいした際に企業が負うリスクや損害
・標的型攻撃メールの対処法
近年、サイバー攻撃が増加傾向にあります。
下記のようなコンテンツを学ぶことで、サイバー攻撃の被害を防ぐことにつながるでしょう。
【標的型攻撃メールの対処法に関する教育内容の具体例】
l 標的型攻撃メールの種類
l 標的型攻撃メールへの対策法
まとめ
情報セキュリティ教育とは、従業員のセキュリティ意識やセキュリティリテラシーを高めるために行われる教育のことです。
マルウェア感染や情報漏えいなど、セキュリティ関連の事故を未然に防ぐことにつながります。
具体的には、下記のようなコンテンツを教育することが望ましいです。
l パスワード管理の重要性
l 電子メール誤送信の恐ろしさ
l バックアップの重要性
l ウイルス対策の重要性
l 安全な無線LANの選び方
l SNSの正しい使い方
l 個人情報保護の重要性
l 標的型攻撃メールの対処法
本記事を参考にしながら、自社の状況や課題に合った教育コンテンツを選び、安全にインターネットやデジタルツールを活用しましょう。