企業を狙うサイバー攻撃は、その手口が高度化・巧妙化の一途を辿っています。特に、特定の組織をターゲットとする標的型攻撃は、事前に周到な準備を行い、あらゆる手段で侵入を試みてきます。従来のセキュリティ対策だけでは、防ぎきれない可能性がある攻撃です。

大企業だけが狙われるのでは？と思われがちですが、大企業への踏み台としてセキュリティ対策が手薄な中小企業が狙われるケースも少なくありません。そして、セキュリティ対策は、企業のセキュリティ担当者だけの努力で防げるものではありません。従業員一人ひとりの意識向上が必須といえます。意識向上のためには、教育体制を整える他、日頃から訓練を行っておくことも有効です。

本記事では、標的型攻撃をはじめとする様々なサイバー攻撃に対応するためのセキュリティ教育の種類をご紹介します。種類ごとの特徴や実施のポイントを解説しているので、ぜひ参考にしてください。

〈この記事を読んでわかる内容〉

そもそも情報セキュリティ教育とは、不正アクセスや情報漏えいといったセキュリティインシデントのリスクを低減するために、従業員のセキュリティ危機意識を高める教育活動のことです。

巧妙化するサイバー攻撃に対応するためには、セキュリティ機器やサービスを導入するだけでは限界があります。企業のセキュリティリスクは、ITリテラシーの低い従業員の日々の業務の中に潜んでいます。情報セキュリティ訓練は、従業員が主体的に学び、実践的な対応力を身につけるための重要な教育です。

例えば、以下のような行動がセキュリティリスクを高めます。

このようなリスクを低減するためには、教育を継続的に実施し、組織全体のセキュリティレベルを向上させる必要があります。

前述したとおり、従業員が情報セキュリティに関する知識を習得し、適切な行動をとることで、情報漏えい、不正アクセス、マルウェア感染などのリスクを低減できます。

具体的には、人的ミスの削減し、誤った操作や判断による情報漏えいを防ぎます。また、外部からの攻撃だけでなく、内部不正に対する抑止力にもなり、情報漏えいの早期発見にもつながります。最後に、フィッシング詐欺や標的型攻撃など、従業員一人ひとりの対応力が求められる脅威に適切に対応できるようになります。

情報セキュリティ対策を講じている企業として、顧客や取引先からの信頼を獲得できる点もメリットの一つです。反対に、情報漏えいなどの事故が発生した場合の、企業イメージの低下を防ぐ効果も期待できます。

加えて、顧客の個人情報や機密情報を適切に保護することで安心感を与え、顧客満足度の向上に繋がったり、情報セキュリティ対策を共有することで、サプライチェーン全体のセキュリティレベルを向上したりできます。

個人情報保護法などの関連法規や業界のガイドラインを遵守するために、情報セキュリティ教育は不可欠です。違反した場合の罰則や訴訟リスクを回避できます。

具体的には、個人情報保護法へ対応することで、個人情報の取得、利用、保管、廃棄に関するルールを従業員に徹底します。さらに、EU域内の個人情報を扱う企業は、GDPRに準拠した情報セキュリティ対策が必要です。金融、医療など、求められる情報セキュリティレベルが高い業界では、独自の基準が設けられている場合もあります。

情報セキュリティ教育には、複数の種類があります。中でも代表的な以下の5つの方法を紹介します。

公開講座形式は、外部向けに公開されている研修に、従業員が個人単位で参加する方法です。研修ごとに異なるテーマについて、専門の講師から講習を受けることができます。他の企業の参加者と一緒に受講するため、質疑応答の時間があれば、自社とは異なる視点や取り組みを知る機会にもなります。

テーマごとに区切られた内容をその都度受講することになるので、情報セキュリティ全体について体系的に学ぶことは難しいかもしれません。

また、一部の従業員だけが数人参加するだけであれば、比較的安価に受講できますが、すべての従業員に受講させたい場合など、人数が多くなるとその分費用がかさみます。

少し前までは会場に集まって受講する形式がほとんどでしたが、最近ではオンライン形式のものを増えてきています。

USEN ICT Solutionsが運営するサイバーセキュリティラボでは、標的型攻撃に関するセミナーを実施しています。

東京大学で客員教授を務めるセキュリティの専門家をお招きして、標的型攻撃の変遷をたどりながら、対策として有効な‟社員教育“について解説をしています。

収録型のオンラインセミナーなので、場所や時間に関係なく、ご参加いただけます。参加費は無料です。

社内に情報セキュリティの専門家がいたり専門部署がある場合は、社内のリソースを使って、研修を行うことができます。会社ごとの状況やセキュリティポリシーに合わせた内容のカリキュラムを作成すれば、オーダーメイドの研修を行うことができ、情報セキュリティ全体を体系的に学ぶことができます。

すべての従業員に一斉に受講させることができ、大人数であってもコストが変わらないという特徴があります。録画などをしておけば、参加できなかった人も後から見返すことができます。

ただし、社内に情報セキュリティに関する知見がない場合は、行うことはできません。

すべての従業員向けに研修を行いたいが、社内に知見がないという場合は、外部の専門家に講演会を依頼するという方法があります。

専門性の高い公演を、一斉に受講させることができますが、有名な講演家になると、費用が高額になる可能性があります。

eラーニングは、インターネット環境を利用して、時間や場所を選ばずに自分のペースで学習を進められる教育方法です。

様々なサービスがありますが、基礎的な内容から専門的な分野まで幅広いコースが用意されていることが多く、従業員のITスキルや知識レベルに合わせて柔軟に選択できます。また、進捗管理や理解度テストなどの機能も備わっていることも多く、効率的な学習が可能です。

サービスには、プラットフォームとコンテンツが両方含まれるので、コストを抑えて気軽に導入することができます。テレワークの従業員でも受講しやすい点も、近年好まれている理由の一つです。

標的型メール訓練サービスは、標的型攻撃で用いられるような形の訓練メールを従業員に送信し、対応状況を評価する実践的な訓練です。巧妙な手口に対する従業員の対応力を可視化し、注意喚起や再教育に繋げられます。

メール開封率、URLクリック率、添付ファイル開封率などを測定することで、従業員のセキュリティ意識を網羅的にに把握することができます。

研修を受けるだけだと、頭では分かっていても、実際の攻撃に引っかかってしまうケースは少なくありません。攻撃を疑似体験することで、より実践的な対策意識の向上を期待できます。

USEN GATE 02 のおすすめ標的型攻撃メールの訓練サービスはこちらです。

情報セキュリティ教育の種類が分かったところで、今度は効果的な活用のしかたをご紹介しましょう。

情報セキュリティ教育を実施する上でまず重要なのは、現状の把握です。従業員の現在のセキュリティ知識レベルや、組織として特に強化したい領域を把握しておく必要があります。

現在の状況がわかると、自ずと目指すべき目標が見えてきます。例えば以下のような例です。

自社のITリテラシーのレベルを知りたい方は、こちらの診断テストを活用してみてください。

情報セキュリティ教育には、様々な種類があることは、ご紹介したとおりです。座学形式の研修やeラーニング、実践的なシミュレーションなど、それぞれの特徴を理解したうえで自社の状況に最適なものを選びましょう。

1つの方法だけで教育が難しい場合は、複数の方法を組み合わせるのも有効です。特定の1つだけにこだわるのではなく、設定した目標を達成できるように、臨機応変に訓練を選定するようにしましょう。

1度教育を実施しただけで終わりにしないようにしましょう。セキュリティを取り巻く環境は常に変化しているため、新たな対策が必要な場合だけでなく、一般的にあらゆる教育は、1度に身につけることは困難だといえます。繰り返し実施することで、徐々に習慣化していくようにしましょう。

さらに、教育の実施後にはアンケートやテストによって効果を測定し、改善点を見つけて次の教育に活かすPDCAサイクルを回していくと良いでしょう。組織全体のセキュリティレベル向上に繋がります。