社員のセキュリティ教育の必要性と実施方法

完璧な情報セキュリティを実現するには一体いくら投資すればいいのでしょうか？

高度化するセキュリティ脅威と、高額化する情報セキュリティ投資のイタチごっこに対し、今後は社員のセキュリティ教育という新しい切り口で挑むべきなのです。

情報セキュリティ教育の必要性

社内の情報セキュリティ教育を実施するに当たり、必要性や目的をはっきりさせておく必要があります。
ウイルス対策ソフトやファイヤーウォールでは防げないこととは具体的にどんなことでしょうか？

以下にシステムでは防げないセキュリティリスクをご紹介します。

業務外のサイトの閲覧（特にアダルト系サイト）

サイトを閲覧しただけでウイルスやアドウェアに感染してしまいます。既にコンテンツフィルターでは防ぎきれません。

フリーソフトのインストールによるウイルス感染

セキュリティソフトを唄ってユーザーにインストールさせる有害ソフトや、ツールバー系ソフトに付属で入ってきて別のウイルスを呼び込むものなどはウイルス対策ソフトでも検知されません。

USBメモリなどの紛失

紛失による実被害はもとより、紛失したという事実が顧客に与える不信感も深刻です。

メールの誤送信

原価のシートがついたままのExcelを送ってしまったり、そもそも送り先を間違えることも考えられます。

自宅用パソコンなどへのデータの持ち出し

自宅のパソコンで作業しようとデータを持ち帰り、家族がインストールしていたファイル交換ソフトで外部へ漏れてしまうケース。

各種パスワードの管理

ログインパスワードが知られたらネットワーク経由でパソコン上のデータにアクセスされますし、会社のネットワークへもアクセスが可能です。

ブログやSNSを使ったうかつな情報公開

会社情報の発信はもちろん、会社の社員であることがわかる状態でモラルにかける発言を公開するとトラブルの元になります。

上記以外にも考えられるリスクはたくさんあります。
これらのリスクは社員自身の知識やスキルが大きく影響するため、セキュリティ教育の必要性は非常に大きいものとわかります。

情報セキュリティ教育の企画

ではどんな方法で教育を行うのがいいのでしょうか？

ヒントは、運転免許更新時の違反者講習や通安全講習会にあります。事故を起こした時の被害の大きさを実例をもとに紹介し、言い方は悪いですが恐怖を煽るのが効果的です。

いざ、情報漏えい事故を起こした時に自分自身に降りかかる問題を具体的にイメージさせることで、面倒なルールも不自由な制限も受け入れざるを得ないと納得できるものなのです。

教育内容

●DVDの上映: セキュリティ教育用のDVD教材は多数登場しています。交通安全のものと違い、しっかり時代に沿ったものを準備していくことが重要です。社員が自分事としてリアルにイメージできる内容のものを選びましょう。

筆者の会社で使用して評判の良かった教材です↓情報セキュリティDVD制作・販売｜株式会社ソルクレオ

　株式会社ソルクオレ制作の情報セキュリティ教育用DVD　ファイル交換ソフト編、新入社員用などパターンも豊富

●社内のセキュリティ状況の紹介: ウイルス検知数推移・インターネット閲覧傾向・被害状況（ウイルス感染・アドウェア削除のために対応したPC台数など）
●セキュリティ向上のためのワンポイントアドバイス: パスワード管理や暗号化のための便利なツールなど、自宅でも活用できるような内容を紹介する。

外部講師に依頼して最新の情報について話をしてもらうのもいいのですが、社員にとっては自社の数字を情報システム部門の人が話したほうがリアルに受け止められて効果的です。

実施方法

社員数が多く、多拠点にまたがる企業の場合は動画配信によるイーラーニング（e-Lerning）の方がスマートですが、費用がかかる上に「意識を高める」という目的に対してあまり効果が見込めません。できる限り集合教育を行うことをお勧めします。

全社員がもれなく出席できるように数か所で複数の日程を準備し、出欠席をチェックして全社員の参加を強制すべきです。どんな業務都合があろうと、強制参加にすることで情報セキュリティの重要性が意識づけられます。

筆者の会社は全社員＋派遣社員の合計750人に対し一人残らず集合教育を年1回実施しています。課長クラスまでしっかりと話を通しておけば都合のつけられない業務などありません。
750人の教育は6か所、8日間（各1時間程度）で完了しています。

情報セキュリティへの要求が厳しくなっていけば、近い将来、情報セキュリティ教育がIT機器の利用免許証更新のような位置づけとなり、教育の受講が無ければシステムのアカウントを停止するなどの処置を取るという手法も必要になるかもしれません。

教育効果の測定

筆者の会社では毎月インターネット閲覧ログ、UTMによるスパイウェア・ウイルスログなどをグラフ化して情報管理部門でまとめており、情報セキュリティ教育の効果測定に利用しています。特にインターネット閲覧ログには顕著にその効果が表れます。

インターネットのログはあらかじめキーワード（アダルト・風俗・キャバクラなど全120個程度）を設定しておき、ウインドウタイトルの文字列にキーワードが含まれる場合に警告としてカウントされます。グラフはこの警告の数をグラフで表してものです。初めてのセキュリティ教育後は約70パーセント程度の低下が見られました。

グラフ：情報セキュリティ教育前後の1ヶ月毎のアラームログ（禁止キーワードを含むサイトの閲覧ログ）推移

グラフにはありませんが、一度減少したアラームログもその後数か月をかけて微増していくという傾向があります。
クルマの運転も、事故の恐怖を忘れてくれば注意がおろそかになっていくように、情報セキュリティ教育も教育から1年もすれば意識は低下していきます。しかし、それでいいのです。だからこそ継続的に定期的にしつこく実施していくことが重要なのです。

教育ではカバーできないセキュリティ

当然ですが社外からの悪意のある攻撃やスパムメールなどを全てセキュリティ教育で回避することは不可能です。あくまでもUTMやウイルスソフト、通信の暗号化など最低限のセキュリティシステムは導入しておく必要があります。
（参考「UTMって必要？もはやファイヤーウォールでは社内LANを守れない！」）

予算的に実現可能な一定レベルのセキュリティシステム整備とユーザー意識の向上を並行して取り組むことで、今後のマルチデバイス＆クラウド時代のセキュリティ対策を行っていくことが最も低コストで効果的です。

↑ページのトップへ-

ひとことコメント

新入社員にしておくべきITセキュリティ教育

UTMって必要？もはやファイヤーウォールでは社内LANを守れない！

企業の情報漏えい事故対策は何をどこまでやればいいの？

社員に使わせるべき社内業務を効率化するフリーソフト　ベスト11

babylonツールバーの削除方法｜babylon toolbar on IEの被害

社内LAN構築前に決めておくこと社内LANの構築に必要な機器と契約類のまとめ社内LAN構成図サンプル＆素材社内LANをすっきりさせるLANケーブル配線ルール社内LANの無線化でセキュリティを気にするくらいなら･･･社内LANのIPアドレス運用ルールの一例をご紹介社内LANをインターネットに繋ぐルーター設定方法拠点間移動時にPCのIPアドレスを手軽に切り替える方法 iPhoneからリモートデスクトップできるアプリ「LogMeIn」 CiscoVPN経由でファイルコピーや転送ができない原因と解決策	社内にあるサーバー種類とその基本的な管理方法を知る現役社内SEがサーバーホスティング＆ハウジングを選ぶ理由サーババックアップについて現役社内SEが考えぬいた最適手段とは DNSサーバーのベストな運用とは？DNSは社内で独自に立てるべき？ ActiveDirectoryを噛み砕いて説明 Windowsファイルサーバーの最適な運用ルールとフォルダ構成高速コピーツール「FastCopy」はホントに早かった！ファイルサーバーのアクセス権を一括確認ファイルサーバーの制限機能を使って無駄なデータ保存を禁止する Windowsファイルサーバーの無駄を無料で調査する方法ファイルサーバーの利用実態をフリーソフトで調査する方法ファイルサーバーの70%を占める無駄なデータを排除し超効率的に運用する方法ファイルサーバー内の画像一括リサイズ（容量不足対策その１） EMC「VNXe3100」の重複排除でファイルサーバーを超効率的に運用する HPのMSA2012fcでディスクがleftoverになった時の復旧方法
企業で導入するパソコンの選定基準社内クライアントPCをHDDからSSDへ社内パソコンの最適な買い方とは？ソフトとハードのリース＆購入方法まとめ 1人分のPCが2万円台で導入できる「Windows Multipoint Server 2011」社内のIT機器管理方法（無料でクライアントPCを管理）社内SAM管理の重要性と最適な運用方法とは Windows7の「シャドウコピー」のタイミング設定変更方法社内プリンターの最適な設定方法 LAN内の全PCに自動でプリンタードライバーをインストールする方法 WindowsとOfficeのサポート終了がグラフでわかる！会社にタブレットを導入するならiPadレンタルがオススメ iPadとiPhoneを管理するのに最適なMDMの選び方電源が入らないのは静電気のせいかも？	社内PC利用ガイドラインの策定社員に使わせるべきフリーソフト　ベスト11 社員のメールソフトは「Windows Liveメール」?「Thunderbird」? 社内SEのヘルプデスクツールはリモートデスクトップできまりツールバーソフトの使用を禁止したいなら OutlookExpressでメールが重複して送信される原因と対処方法突然WordやExcelで日本語入力できなくなったときの解決方法 babylonツールバーの削除方法と被害/影響のまとめ BrowserProtectの簡単削除方法 Excelで画面が点滅しCPUが100%になる問題の解決方法別のプログラムがこのフォルダーまたはファイルを開いているので・・・の原因と解決方法
社員のセキュリティ教育の必要性と実施方法新入社員にしておくべきITセキュリティ教育 UTMって必要？もはやファイヤーウォールでは社内LANを守れない！高機能UTM「FortiGate 620B」を評価してみました企業の情報漏えい事故対策は何をどこまでやればいいの？社内SEがやるべき会社のウイルス対策リスト「System Progressive Protection」の簡単削除手順 Advanced System Protectorの削除方法 autorunウイルスの対策は今すぐに！社内PC全てに！「Disk Antivirus Professional」の簡単削除手順 SystemDoctor2014の簡単削除方法	グループウェアの選びの考え方・選定項目一覧このデメリットが無ければGoogleAppsが最高のグループウェアだったデスクネッツNeo VS サイボウズGaroon3の徹底比較無駄に見えるグループウェアの機能が費用対効果のアピールネタになる Webメール？メールソフト？会社のメールはどっちで見る？ Windows Live メールのアドレス帳をカテゴリーごと移行テレビ会議システムとWeb会議システムはどっちを選べばいい？現役社内SEが考えたWeb会議システムの選び方 Web会議システム「V-CUBE」と「Meeting Plaza」徹底比較

社内LAN構築前に決めておくこと社内LANの構築に必要な機器と契約類のまとめ社内LAN構成図サンプル＆素材社内LANをすっきりさせるLANケーブル配線ルール社内LANの無線化でセキュリティを気にするくらいなら･･･社内LANのIPアドレス運用ルールの一例をご紹介社内LANをインターネットに繋ぐルーター設定方法拠点間移動時にPCのIPアドレスを手軽に切り替える方法 iPhoneからリモートデスクトップできるアプリ「LogMeIn」 CiscoVPN経由でファイルコピーや転送ができない原因と解決策	社内にあるサーバー種類とその基本的な管理方法を知る現役社内SEがサーバーホスティング＆ハウジングを選ぶ理由サーババックアップについて現役社内SEが考えぬいた最適手段とは DNSサーバーのベストな運用とは？DNSは社内で独自に立てるべき？ ActiveDirectoryを噛み砕いて説明 Windowsファイルサーバーの最適な運用ルールとフォルダ構成高速コピーツール「FastCopy」はホントに早かった！ファイルサーバーのアクセス権を一括確認ファイルサーバーの制限機能を使って無駄なデータ保存を禁止する Windowsファイルサーバーの無駄を無料で調査する方法ファイルサーバーの利用実態をフリーソフトで調査する方法ファイルサーバーの70%を占める無駄なデータを排除し超効率的に運用する方法ファイルサーバー内の画像一括リサイズ（容量不足対策その１） EMC「VNXe3100」の重複排除でファイルサーバーを超効率的に運用する HPのMSA2012fcでディスクがleftoverになった時の復旧方法
企業で導入するパソコンの選定基準社内クライアントPCをHDDからSSDへ社内パソコンの最適な買い方とは？ソフトとハードのリース＆購入方法まとめ 1人分のPCが2万円台で導入できる「Windows Multipoint Server 2011」社内のIT機器管理方法（無料でクライアントPCを管理）社内SAM管理の重要性と最適な運用方法とは Windows7の「シャドウコピー」のタイミング設定変更方法社内プリンターの最適な設定方法 LAN内の全PCに自動でプリンタードライバーをインストールする方法 WindowsとOfficeのサポート終了がグラフでわかる！会社にタブレットを導入するならiPadレンタルがオススメ iPadとiPhoneを管理するのに最適なMDMの選び方電源が入らないのは静電気のせいかも？	社内PC利用ガイドラインの策定社員に使わせるべきフリーソフト　ベスト11 社員のメールソフトは「Windows Liveメール」?「Thunderbird」? 社内SEのヘルプデスクツールはリモートデスクトップできまりツールバーソフトの使用を禁止したいなら OutlookExpressでメールが重複して送信される原因と対処方法突然WordやExcelで日本語入力できなくなったときの解決方法 babylonツールバーの削除方法と被害/影響のまとめ BrowserProtectの簡単削除方法 Excelで画面が点滅しCPUが100%になる問題の解決方法別のプログラムがこのフォルダーまたはファイルを開いているので・・・の原因と解決方法
社員のセキュリティ教育の必要性と実施方法新入社員にしておくべきITセキュリティ教育 UTMって必要？もはやファイヤーウォールでは社内LANを守れない！高機能UTM「FortiGate 620B」を評価してみました企業の情報漏えい事故対策は何をどこまでやればいいの？社内SEがやるべき会社のウイルス対策リスト「System Progressive Protection」の簡単削除手順 Advanced System Protectorの削除方法 autorunウイルスの対策は今すぐに！社内PC全てに！「Disk Antivirus Professional」の簡単削除手順 SystemDoctor2014の簡単削除方法	グループウェアの選びの考え方・選定項目一覧このデメリットが無ければGoogleAppsが最高のグループウェアだったデスクネッツNeo VS サイボウズGaroon3の徹底比較無駄に見えるグループウェアの機能が費用対効果のアピールネタになる Webメール？メールソフト？会社のメールはどっちで見る？ Windows Live メールのアドレス帳をカテゴリーごと移行テレビ会議システムとWeb会議システムはどっちを選べばいい？現役社内SEが考えたWeb会議システムの選び方 Web会議システム「V-CUBE」と「Meeting Plaza」徹底比較

	別のプログラムがこのフォルダーまたはファイルを開いているので・・・の原因と解決方法（2015/11/24）
	ファイルサーバーのアクセス権を一括確認（2014/02/14）
	テレビ会議システムとWeb会議システムはどっちを選べばいい？（2014/02/06）
	Web会議システム「V-CUBE」と「Meeting Plaza」徹底比較（2014/02/06）
	現役社内SEが考えたWeb会議システムの選び方（2014/02/06）
	iPhoneからリモートデスクトップできるアプリ「LogMeIn」（2014/01/22）
	EMC「VNXe3100」の重複排除でファイルサーバーを超効率的に運用する（2014/01/16）

		Windowsファイルサーバーの最適な運用ルールとフォルダ構成
		Advanced System Protectorの削除方法
		高速コピーツール「FastCopy」はホントに早かった！
		社員に使わせるべきフリーソフト　ベスト11
		サーババックアップについて現役社内SEが考えぬいた最適手段とは
		突然WordやExcelで日本語入力できなくなったときの解決方法
		Windows7の「シャドウコピー」のタイミング設定変更方法
		社内LAN構成図サンプル＆素材
		babylonツールバーの削除方法と被害/影響のまとめ
		社内LANをすっきりさせるLANケーブル配線ルール