ネットワーク
サーバー
クライアントPC
ヘルプデスク
セキュリティ
グループウェア

社員のセキュリティ教育の必要性と実施方法

完璧な情報セキュリティを実現するには一体いくら投資すればいいのでしょうか?

高度化するセキュリティ脅威と、高額化する情報セキュリティ投資のイタチごっこに対し、今後は社員のセキュリティ教育という新しい切り口で挑むべきなのです。

情報セキュリティ教育の必要性

社内の情報セキュリティ教育を実施するに当たり、必要性や目的をはっきりさせておく必要があります。
ウイルス対策ソフトやファイヤーウォールでは防げないこととは具体的にどんなことでしょうか?

以下にシステムでは防げないセキュリティリスクをご紹介します。

業務外のサイトの閲覧(特にアダルト系サイト)

サイトを閲覧しただけでウイルスやアドウェアに感染してしまいます。既にコンテンツフィルターでは防ぎきれません。

フリーソフトのインストールによるウイルス感染

セキュリティソフトを唄ってユーザーにインストールさせる有害ソフトや、ツールバー系ソフトに付属で入ってきて別のウイルスを呼び込むものなどはウイルス対策ソフトでも検知されません。

USBメモリなどの紛失

紛失による実被害はもとより、紛失したという事実が顧客に与える不信感も深刻です。

メールの誤送信

原価のシートがついたままのExcelを送ってしまったり、そもそも送り先を間違えることも考えられます。

自宅用パソコンなどへのデータの持ち出し

自宅のパソコンで作業しようとデータを持ち帰り、家族がインストールしていたファイル交換ソフトで外部へ漏れてしまうケース。

各種パスワードの管理

ログインパスワードが知られたらネットワーク経由でパソコン上のデータにアクセスされますし、会社のネットワークへもアクセスが可能です。

ブログやSNSを使ったうかつな情報公開

会社情報の発信はもちろん、会社の社員であることがわかる状態でモラルにかける発言を公開するとトラブルの元になります。

上記以外にも考えられるリスクはたくさんあります。
これらのリスクは社員自身の知識やスキルが大きく影響するため、セキュリティ教育の必要性は非常に大きいものとわかります。

情報セキュリティ教育の企画

ではどんな方法で教育を行うのがいいのでしょうか?

ヒントは、運転免許更新時の違反者講習や通安全講習会にあります。事故を起こした時の被害の大きさを実例をもとに紹介し、言い方は悪いですが恐怖を煽るのが効果的です。

いざ、情報漏えい事故を起こした時に自分自身に降りかかる問題を具体的にイメージさせることで、面倒なルールも不自由な制限も受け入れざるを得ないと納得できるものなのです。

教育内容

●DVDの上映
セキュリティ教育用のDVD教材は多数登場しています。交通安全のものと違い、しっかり時代に沿ったものを準備していくことが重要です。社員が自分事としてリアルにイメージできる内容のものを選びましょう。
筆者の会社で使用して評判の良かった教材です↓情報セキュリティDVD制作・販売|株式会社ソルクレオ
情報セキュリティ教育用DVD  株式会社ソルクオレ制作の情報セキュリティ教育用DVD ファイル交換ソフト編、新入社員用などパターンも豊富
●社内のセキュリティ状況の紹介
ウイルス検知数推移・インターネット閲覧傾向・被害状況(ウイルス感染・アドウェア削除のために対応したPC台数など)
●セキュリティ向上のためのワンポイントアドバイス
パスワード管理や暗号化のための便利なツールなど、自宅でも活用できるような内容を紹介する。

外部講師に依頼して最新の情報について話をしてもらうのもいいのですが、社員にとっては自社の数字を情報システム部門の人が話したほうがリアルに受け止められて効果的です。

実施方法

社員数が多く、多拠点にまたがる企業の場合は動画配信によるイーラーニング(e-Lerning)の方がスマートですが、費用がかかる上に「意識を高める」という目的に対してあまり効果が見込めません。できる限り集合教育を行うことをお勧めします。

全社員がもれなく出席できるように数か所で複数の日程を準備し、出欠席をチェックして全社員の参加を強制すべきです。どんな業務都合があろうと、強制参加にすることで情報セキュリティの重要性が意識づけられます。

筆者の会社は全社員+派遣社員の合計750人に対し一人残らず集合教育を年1回実施しています。課長クラスまでしっかりと話を通しておけば都合のつけられない業務などありません。
750人の教育は6か所、8日間(各1時間程度)で完了しています。

情報セキュリティへの要求が厳しくなっていけば、近い将来、情報セキュリティ教育がIT機器の利用免許証更新のような位置づけとなり、教育の受講が無ければシステムのアカウントを停止するなどの処置を取るという手法も必要になるかもしれません。

教育効果の測定

筆者の会社では毎月インターネット閲覧ログ、UTMによるスパイウェア・ウイルスログなどをグラフ化して情報管理部門でまとめており、情報セキュリティ教育の効果測定に利用しています。特にインターネット閲覧ログには顕著にその効果が表れます。

インターネットのログはあらかじめキーワード(アダルト・風俗・キャバクラなど全120個程度)を設定しておき、ウインドウタイトルの文字列にキーワードが含まれる場合に警告としてカウントされます。グラフはこの警告の数をグラフで表してものです。初めてのセキュリティ教育後は約70パーセント程度の低下が見られました。

情報セキュリティ教育前後のアラームログ推移 グラフ:情報セキュリティ教育前後の1ヶ月毎のアラームログ(禁止キーワードを含むサイトの閲覧ログ)推移

グラフにはありませんが、一度減少したアラームログもその後数か月をかけて微増していくという傾向があります。
クルマの運転も、事故の恐怖を忘れてくれば注意がおろそかになっていくように、情報セキュリティ教育も教育から1年もすれば意識は低下していきます。しかし、それでいいのです。だからこそ継続的に定期的にしつこく実施していくことが重要なのです。

教育ではカバーできないセキュリティ

当然ですが社外からの悪意のある攻撃やスパムメールなどを全てセキュリティ教育で回避することは不可能です。あくまでもUTMやウイルスソフト、通信の暗号化など最低限のセキュリティシステムは導入しておく必要があります。
(参考「UTMって必要?もはやファイヤーウォールでは社内LANを守れない!」)

予算的に実現可能な一定レベルのセキュリティシステム整備とユーザー意識の向上を並行して取り組むことで、今後のマルチデバイス&クラウド時代のセキュリティ対策を行っていくことが最も低コストで効果的です。

↑ページのトップへ-

次は→ 新入社員にしておくべきITセキュリティ教育

ひとことコメント
関連記事
新入社員にしておくべきITセキュリティ教育 新入社員にしておくべきITセキュリティ教育
UTMって必要?もはやファイヤーウォールでは社内LANを守れない! UTMって必要?もはやファイヤーウォールでは社内LANを守れない!
企業の情報漏えい事故対策は何をどこまでやればいいの? 企業の情報漏えい事故対策は何をどこまでやればいいの?
社員に使わせるべき社内業務を効率化するフリーソフト ベスト11 社員に使わせるべき社内業務を効率化するフリーソフト ベスト11
babylonツールバーの削除方法|babylon toolbar on IEの被害 babylonツールバーの削除方法|babylon toolbar on IEの被害

人気エントリー
最近のエントリー
筆者プロフィール
筆者プロフィール
  • 1976年 東京都生まれ
  • 23歳・・・サービス業の会社に勤務したが時間的自由度の低さに納得行かず転職を考える。
  • 25歳・・・「新卒扱いで構いません!」と言ってIT系企業(社員30名)に転職。
    Word、Excelから始め、サーバーやネットワーク機器の構築を学び、3年間SIerとしてお客様への提案やシステム構築を行う。
  • 28歳・・・「3年の経験あり」ということで現在の会社(従業員数900名)に社内SEとして入社
    遅れに遅れていた社内システムを低予算で更新した実績を評価された。