eラーニングブログ

一般的に、企業における情報セキュリティ教育とは、セキュリティインシデント（情報セキュリティの事故）を未然に防ぐべく、従業員一人ひとりのセキュリティリテラシー（※）の向上を目的としています。

セキュリティインシデントの例としては、不正アクセスやマルウェアへの感染などが挙げられます。これらのインシデントが起こると、情報流出や情報の改ざんなど、企業にとっては死活問題になりかねない重大なリスクが生じます。

リスクを回避するためには、業務への取り組み方法の整理・確認やセキュリティそのものを高める施策も大切です。しかし、高度なセキュリティ体制を敷いていても、それを実際に使用するのは人間ですから、従業員各々についても、セキュリティリテラシー向上は必須です。企業が安定的に活動し成長を継続させるために、情報セキュリティ教育は最も重要な従業員教育の一つと言えます。
※情報セキュリティに関する知識や技術を持ち、それを正しく実践できる能力

では、情報セキュリティ教育とは、具体的にはどのような内容なのでしょうか。

〈一般的な情報セキュリティ教育（例）〉

●インターネット利用時の脅威と対策

ホームページ閲覧や電子メール、情報機器やモバイル端末の使い方など、インターネットを利用したサービスを利用する際のリスクや対策の解説

●情報発信の際の注意

SNSやブログなど、インターネット上で提供されている専用プラットフォームを利用して情報発信を行う際の注意点やトラブル対策の解説

●事故や被害事例

実際に起こった事故・被害をベースにした事例の紹介による注意喚起と、それらを教訓としたリスクの回避方法

〈企業・組織の情報セキュリティ教育（例）〉

●従業員全般への教育

パスワード管理やウイルス対策、テレワーク時の注意点、持ち運びできるメディアや機器を使用する際の対策など、従業員一人ひとりに関係するセキュリティの解説

●組織幹部への教育

情報セキュリティ対策の必要性や情報セキュリティマネジメントの概念、個人情報を取り扱う企業としての責務など、組織を統括する立場の幹部に向けた解説

●情報管理担当者への教育

不正アクセスやウイルス、標的型攻撃などに対する「物理的対策」のほか、サーバ管理や機器障害対策に関する「物理セキュリティ」、情報セキュリティポリシーの導入・運用など、情報管理担当者が実践すべきセキュリティ対策についての解説

このように、企業における情報セキュリティ教育の内容は、それぞれの立場や役職によって変わります。各従業員が、自らの責務と行動について自覚を持つことで組織全体のセキュリティ意識を高め、セキュリティリスクを最小限に抑えることが重要です。

この章では、企業を取り巻く情報セキュリティのリスクについて理解し、情報セキュリティ教育の重要性を改めて確認していきます。

●情報セキュリティリスクには「脅威」と「脆弱性」がある

情報セキュリティリスクとは、情報システムとそのデータに関して、損害やマイナスの影響を生じる可能性を持ったリスクのことで、「脅威」と「脆弱性」に分類されます。

まず「脅威」とは、リスクを引き起こす要因のことです。人の行為による人為的脅威と、災害などの環境的脅威があります。

次に「脆弱性」とは、脅威によって突かれる弱点です。ウイルス対策が不十分、ソフトウェアの不具合、建物の施錠ができていないなど、“セキュリティの穴”を指します。脆弱性が大きいほど、悪意のある攻撃者に狙われ、機密情報を盗まれる可能性も高くなります。

●被害が増えている「標的型攻撃」

現在、悪意のあるサイバー攻撃といえば、特定の組織や個人を対象とした、金銭を得るための攻撃が主流になりつつあります。この「特定の組織や個人」を対象に行われる攻撃を、「標的型攻撃」と言います。標的型攻撃にはさまざまな種類がありますが、特に多いのは、偽装メールです。
偽装メールで巧妙に誘導し、従業員のPCをウイルスに感染させると、そのPCから社内ネットワークを通じてウイルスを拡散させ、機密情報を盗み出したりシステムを破壊したりします。これらの攻撃は長期間継続して行われることが多く、「気づかないうちに情報を盗まれていた！」というケースも少なくありません。

●信頼が損なわれることで事業継続に赤信号も

企業は、従業員の個人情報など自社に関する情報だけではなく、取引先や委託先、顧客などさまざまな企業・個人の情報も抱えています。そのため、これらを不正に流出させることになれば、その企業は信頼を失い、競争力の低下や市場での地位の失墜につながりかねません。その結果、事業継続が難しくなるケースも考えられます。

上記のことから、情報セキュリティ教育が不十分だと、企業にとって深刻なダメージを及ぼす可能性があることがわかりました。したがって、企業は、情報セキュリティ教育を十分に行い、リスクを最小限に抑える必要があります。

ここまで情報セキュリティ教育の概要や意義について説明をしてきましたが、実際に企業で行う場合、どのような手順を踏めばよいのでしょうか。具体的なステップと共に解説していきます。

〈STEP.1〉教育内容やテーマを明確にする
まずは「教育を通して何を学んで欲しいのか」をはっきりさせましょう。その際、「情報セキュリティ全般」などとすると広範囲すぎるため、できるだけ具体的なテーマを設定します。広く知識を解説する必要がある場合でも、テーマごとに区切るようにするのがお勧めです。
例）「メールの送受信での注意点」「社外の方とファイルを共有する際の注意点」「テレワークに潜むセキュリティリスク」

〈STEP.2〉教育対象者を選定する
教育の内容やテーマが定まったら、教育の対象者を選定しておきましょう。例えば、すべての従業員が対象なのか、特定の部署や支店の従業員に限定するのかなど、範囲を定めておくと、よりピンポイントかつ実践的な教育内容になります。さらに、それぞれの対象者のフォローにあたる担当者も定めておくと教育を開始した後の運用がスムーズになります。

〈STEP.3〉教育実施の頻度やタイミングを想定する
教育実施の頻度とタイミングをあらかじめ想定し、業務の一環として実施できるようにスケジュールに組み込んでおきましょう。

（頻度の例）毎年4月、四半期に1度　…など
（タイミングの例）入社時、同業他社で事故が発生した際、社内ルールの変更時　…など

〈STEP.4〉教育を実施する手段を検討する
次に教育を実施する手段を検討しましょう。一般的な方法としては、以下の4つが挙げられます。

（1）eラーニング
さまざまな企業が提供しているeラーニングシステムを利用することで、質の高い教育を手軽に実施でき、進行管理もしやすい。ただしネット環境が必須

（2）社内研修（集合研修）
自社独自の内容で実施できるなど、自由度は高め。配布/投影資料や会場の手配・準備、受講者の移動等のコストが必要となる

（3）外部のセミナー（集合研修）
その分野の専門家が解説するため深い知識が得られる。受講費用や交通費が発生する

（4）DVDなど動画教材
何度も繰り返して利用でき、場合によっては複製も可能。しかし、更新の頻度が高い分野には不向き

〈STEP.5〉教材の作成・手配を行う
実施する手段を決めたら、それに合わせた教材の作成または手配を行いましょう。
eラーニングやDVDなどの既存の教材を用意する場合、作成の手間はありませんが、情報セキュリティ分野は日々変化しているため、最新情報が反映されている教材を選ぶことが大切です。自社で教材を作成する際は、理論的な概念だけではなく、実践的な事例やシナリオを教材に盛り込み、従業員の理解を促進することを意識しましょう。

〈STEP.6〉教育の実施
ここまでの準備ができたら、いよいよ教育の実施です。準備した教材を使って、従業員に情報セキュリティの知識を浸透させましょう。

〈STEP.7〉教育効果を測定し、必要であれば改善を図る
教育を実施する際は、テストや従業員（学習者）へのインタビュー、アンケート調査などを行い、どの程度理解したのかを測定しましょう。その結果をもとに教育効果を判断し、教材の改善が必要であれば対応します。また、テストの点数が低い従業員がいれば、再教育などでフォローをすることも大切です。

前章の〈STEP.4〉で、情報セキュリティ教育を実施する4つの手段を紹介しましたが、その中でも特におすすめしたいのが、eラーニングです。

時間や場所を問わず学習できるeラーニングは、従業員にとって学習がしやすく、管理者側も学習の進捗状況やフィードバックを一元管理できるというメリットがあります。また、動画やクイズなどのインタラクティブな要素を通して、楽しみながら情報セキュリティの知識を得られることも魅力的です。

そんなeラーニングを使った教育には、既存の教材を活用する方法のほかに、自社でオリジナルの教材を作成する方法もあります。オリジナル教材であれば、より独自性が強く、従業員（学習者）にとって関連性の高い教材を提供できるため、訴求力の高さも期待できます。
ここでは情報セキュリティ教育のeラーニング教材を作成するための方法をご紹介します。

〈教材作成の方法.1〉Power Pointで制作する
eラーニング教材を作成する場合、Power Pointは最も手軽な方法の一つです。原稿作成から配信までの期間が比較的短く、さらに既存の資産（既にある集合研修向けの資料など）を活用することで、より効率的に教材を作ることができます。そのため情報セキュリティのような更新頻度が高い教材に適しています。

〈教材作成の方法.2〉eラーニング作成ツールで制作する
eラーニング作成ツールは、テキストや画像、音声、動画など、多彩なメディアを組み合わせて、インタラクティブな教材を手軽に作成できるツールです。プログラミングなどの知識がなくても、機能を活用することで高品質な教材を容易に作ることが可能です。eラーニング作成ツールには、Power Pointのアドインソフトである「iSpring Suite（アイスプリング スイート）」や、アニメーションに特化した「Vyond（ビヨンド）」などがあります。
＞ iSpring販売
＞ Vyond（アニメーション制作）販売

〈教材作成の方法.3〉プロに作成を代行してもらう
eラーニング教材を提供しているベンダー（販売会社）にオーダーメイドする方法です。プロによるサポートを受けながら、自社独自の教材を一から作成することができるのは大きなメリットです。もちろん、上記で紹介したPower Pointやeラーニング作成ツールを使用して自社で教材を用意することは可能です。しかし、工程や素材の一部のみであっても、社外のリソースを活用すれば、より質の高い教材を効率よく作れます。

eラーニング教材を作成する際は、以下のような点を考慮し、

① どのようなツールを利用するのか
② 自社内で作成するのか、もしくは外注するのか
③ ファイル形式（PowerPoint、映像・ビデオ形式、アニメーション）

教材の完成イメージや諸条件にマッチした最適な選択を行うようにしましょう。もし選択に迷うことがあれば、ベンダーに相談し、アドバイスを受けることもおすすめです。
＞ eラーニング教材制作

サイバー攻撃やデータ漏えいといったリスクが常に存在している現代のデジタル環境。これらの脅威から企業を守るためには、従業員一人ひとりがセキュリティリテラシーを高めることが重要であり、情報セキュリティ教育が必須です。

もし「どのような教育を行えばいいのかわからない」「教材内容が適切か不安」などといったお悩みをお持ちであれば、専門知識のあるベンダーに一度ご相談してみてはいかがでしょうか。

ヒューマンサイエンスでは、eラーニングに関するさまざまなアドバイスはもちろん、eラーニングの企画や設計、教材作成の代行までトータルでサポートしています。さらに、eラーニング教材「情報セキュリティ基礎コース」もご提供しています。

「情報セキュリティ基礎コース」は、ソフトウェアの更新やフリーWi-Fi利用時の注意など、パソコンやスマートフォンを業務で利用する際の注意点を具体的に分かりやすく紹介。業種を問わない一般的な内容になっているので、幅広く活用することができます。

詳しくは、株式会社ヒューマンサイエンスのeラーニングサイトをご参照ください。
＞ eラーニング教材「情報セキュリティ基礎コース」