サイバーセキュリティとは、情報セキュリティとも呼ばれているもので、デジタル環境にある情報をサイバー攻撃やウイルスなどから守ることです。
重要性をわかっていても実際に攻撃されたことがなければ、予算の必要な社員教育をすることに二の足を踏んでしまうかもしれません。
しかし、攻撃されてからでは遅く、サイバー攻撃を受けた時の損失は数億円になるとも言われています。
この記事では、サイバーセキュリティをどのように周知すれば良いか悩んでいる経営者のために以下の内容を説明します。
- サイバーセキュリティの脅威
- サイバーセキュリティ教育の重要性
- 社員教育でサイバーセキュリティを教える方法
- サイバーセキュリティを学べる無料の資料
サイバーセキュリティ教育に興味がある方は、ぜひ最後までお読みください。
サイバーセキュリティの脅威
サイバーセキュリティの脅威にはさまざまな種類があります。
情報処理推進機構(IPA)では、2021年に発生し社会的影響が大きかったインシデントを『情報セキュリティ10大脅威 2022』としてまとめています。
| 1位 | ランサムウェアによる被害 |
| 2位 | 標的型攻撃による機密情報の窃取 |
| 3位 | サプライチェーンの弱点を悪用した攻撃 |
| 4位 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 5位 | 内部不正による情報漏えい |
| 6位 | 脆弱性対策情報の公開に伴う悪用増加 |
| 7位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 8位 | ビジネスメール詐欺による金銭被害 |
| 9位 | 予期せぬIT基盤の障害に伴う業務停止 |
| 10位 | 不注意による情報漏えい等の被害 |
1位の「ランサムウェアによる被害」とは、ランサムウェアというウイルスにパソコンやサーバーを感染させ、端末のロックやデータの暗号化を行い、復旧と引き換えに金銭を要求するものです。
メールの添付ファイルやリンクのクリックから感染したり、セキュリティが脆弱な機器から感染したりします。
2位の「標的型攻撃による機密情報の窃取」は、特定の企業や官公庁などを狙った攻撃のことで、その組織が持つ機密情報の窃取や業務妨害が目的です。
攻撃する組織の取引先などを装ったメールの添付ファイルやリンクのクリックで感染させたり、組織の従業員がよく閲覧しているウェブサイトを改ざんしアクセスさせることで感染させたりします。
脅威のほとんどは、セキュリティの脆弱性や従業員の行動から侵入します。最新のセキュリティチェックや、従業員の教育が大事です。
サイバーセキュリティ教育の重要性
多くの企業がデータをクラウドに保存したり、オンライン上でコミュニケーションをとったりしていますが、インターネット上には悪意を持ってセキュリティを突破しようとする第三者がいます。
サイバーセキュリティシステムはそのような脅威から企業の機密情報などを守っているのです。
しかし、システムがしっかりしていても使う社員がサイバーセキュリティについて気にせず使っていれば、すぐに脅威の侵入を許してしまいます。
(複数回答).jpg)
図2.過去1年間に認知したセキュリティインシデント(2021-2022年比較)(複数回答)
日本情報経済社会推進協会(JIPDEC)が2022年1月に調査した結果では、セキュリティインシデントが最も多かったのは「従業員によるデータ・情報の紛失・盗難」です。
2位の「社内サーバー/PC/スマートフォン等のマルウェア感染」と、3位の「個人情報の漏洩・逸失(人為ミスによる)」も、従業員の人為的ミスからインシデントとなります。
インシデントの発生理由の上位3つが人為的ミスによるものですので、サイバーセキュリティの教育が重要であることがわかるでしょう。
サイバーセキュリティに関する社員教育を実施する3ステップ
サイバーセキュリティには "オペレーション", "システム", "人間" の3つの要素があります。オペレーションやシステムが強固でも、使う従業員の意識が低ければセキュリティは弱まってしまいます。
サイバーセキュリティ教育を行う目的は、従業員にサイバーセキュリティの重要性を理解させ、基本的なセキュリティ対策ができるようにすることです。
たった1つのクリックが大きな損害につながる可能性があると意識し注意するだけでインシデントを防げます。
1. 教える内容を決定する
サイバーセキュリティに関することは多岐にわたるため、すべてを教えようと思うと長時間の研修をしなければなりません。
オンラインを使って業務をする従業員は全員研修を受けることが望ましいため、できる限り出席させるためにも短時間で終わらせたいでしょう。
教えるテーマを絞る必要があるため、自社で発生したトラブルやヒヤリハットを常日頃から収集し研修で実際の事案として共有することで、受講する人も自分事にして学ぶことができます。
以下のような一般的に気を付けるべきセキュリティ対策は繰り返し研修し、徹底させましょう。
| パスワードの取り扱い | ・不特定多数に見られる場所で保管しない ・簡単なパスワードを設定しない ・複数のサイトで同じパスワードを使いまわさない |
| USBなどの取り扱い | ・使用する際はウイルスチェックを行う ・会社指定のものを使用する ・自宅に持ち帰らない |
| Eメールの送受信 | ・送信時にはccとbccを使い分ける ・送信前にダブルチェックをする ・不明なメールを開かない ・安易に添付ファイルを開かない ・安易にリンクをクリックしない |
| バックアップ | ・定期的にバックアップを取る |
| ウイルス対策 | ・最新のウイルス対策ソフトを導入する ・不明なサイトを開かない |
| フリーWi-Fiの使用 | ・セキュリティの弱いフリーWi-Fiを使わない ・機密情報を入力しない ・VPNサービスを利用する |
| SNSの利用 | ・機密情報や顧客の個人情報を投稿しない ・他人を誹謗中傷する投稿をしない |
日常業務で無意識に行っていることがセキュリティを弱めていることを再認識させて、行動を改めさせることが大事です。
2. 実施方法を決定する
研修の方法は主に3種類あります。
- eラーニング
- 外部セミナー
- 社内研修
それぞれのメリット・デメリットをよく検討して選びましょう。
eラーニング
eラーニングとは、オンラインで動画やテキストコンテンツなどを使った学習サービスです。
eラーニングのメリットは、各従業員が好きな時間に学ぶことができることです。インターネット環境があれば会社以外でも利用できます。
自由度が高い代わりに強制力が弱くなってしまうため、どの従業員が受講していないか、理解度が低いかなどをしっかりと管理する必要があります。
eラーニングのサービスは業者によって様々です。サイバーセキュリティ以外のビジネス講座も提供している総合的なサービスやレベル感など、自社に最適なeラーニングを選びましょう。
ここでは、サイバーセキュリティ対策に特化したeラーニングサービスを紹介します。
情報セキュリティ対策eラーニング
情報セキュリティ対策eラーニングは、NTT東日本が法人向けに提供しているeラーニングサービスです。コースごとに料金設定がされており、自社に必要なコースを選んで受講できます。
管理者は受講生の受講状況、満足度、習得度をcsvでダウンロードでき、管理がしやすくなっています。eラーニングコースに自社で発生したインシデントやセキュリティ体制を追加するカスタマイズも可能です。
セキュリオ
セキュリオはLRM株式会社が提供している情報セキュリティ教育クラウドサービスです。LRM株式会社は情報セキュリティに関するコンサルタント会社で、ISMSやISO27017/ISO27018などの認証取得の支援も行っています。
セキュリオには3種類のコースがあり「GRスタンダード」というコースでは、従業員1人につき毎月300円(税抜)で70種類以上の教材を受講できます。
毎月教材が追加更新されるため、変化が速いサイバーセキュリティでも最新の情報を学べるのがメリットです。
参考:セキュリオ
Mina Secure
Mina Secureはグローバルセキュリティエキスパート株式会社のクラウド型情報セキュリティeラーニングサービスです。
2か月間のライセンス契約を必要な人数分購入する形で受講ができます。
コンテンツはアニメーション動画のストーリー仕立てでわかりやすく、受講後の理解度を測る理解度テストもついています。未受講者にはフォローメールで受講を促すことができるため、受講の意識づけにも役立つでしょう。
グローバルセキュリティエキスパート株式会社では、標的型攻撃メールの訓練ができる「トラップメール」や、新入社員向けサイバーセキュリティ教育セットなどのサービスも提供しています。
参考:Mina Secure
外部セミナー
外部セミナーは、会場と日程が決まっているセミナーに申し込んで参加するものです。ほかの企業からも参加者が来ることが多いため、セミナーで学ぶだけでなく交流ができることもメリットです。
しかし、日程が決まっていることが多く、従業員の予定をセミナーに合わせなければならず、会場型セミナーの場合は会場まで行かなければなりません。
外部セミナーを利用する際は、実績を持つ専門家が講師を務めており、かつ従業員のレベルに合ったものを選びましょう。
セミナーズ
セミナーズは会場型のセミナーとZoomなどを使ったウェビナーの両方を取り扱っている日本最大級のセミナーポータルサイトです。
開催されているセミナーのクオリティが高く、業界トップクラスの講師がセミナーをしていることで人気があります。
サイバーセキュリティのセミナーは、「ビジネス/社員教育」のカテゴリーに表示されています。中には無料のセミナーもあるので、ぜひ探してみてください。
参考:セミナーズ
マジセミ
マジセミはIT業界と製造業のウェビナー情報サイトです。
カテゴリーが「メールセキュリティ」や「脆弱性管理」「ランサムウェア・標的型攻撃」など、細かく区別されているため、受講させたいウェビナーを見つけやすいです。
過去のウェビナーのアーカイブ動画や資料を請求することもできるため、申し込めなかったウェビナーを見ることができます。
参考:マジセミ
社内研修
社内研修は、自社の会議室などで行う集合研修です。オンラインの場合でも、複数の従業員が一緒に研修を受けます。
自社のオリジナルのカリキュラムを組むことができ、自社で発生したサイバーセキュリティの事案を研修内容に入れることも可能ですが、研修担当者に負担がかかることが多いです。
ラックセキュリティアカデミー
ラックセキュリティアカデミーは、サイバーセキュリティのコンサルティングなどをしているLAC株式会社が運営しているセキュリティ人材育成支援サービスです。
LAC株式会社のセキュリティ監視センターJSOCやサイバー救急センターから得られる情報により、常に最新のデータを基にした教育を受けられます。
決められた日程のセミナーに申し込むオープン開催と、企業の要望に合わせた個別開催があります。新入社員向けの研修も開催しているため、入社研修の1つに組み込んでも良いでしょう。
インターネット・アカデミー
インターネット・アカデミーはIT研修サービスで、eラーニングのほかに自社への講師派遣、オンラインでの集合研修などを実施しています。
W3C(World Wide Web Consortium)にも属しており、最新のサイバーセキュリティ情報を学べます。
研修プログラムには新入社員や情報セキュリティの知識が少ない社員に適した情報セキュリティ研修が多いですが、講師派遣を依頼する場合は自社の状況に合わせた研修も可能です。
3. 研修後に効果を測定する
サイバーセキュリティ研修後には、受講者が理解しているかの測定を行いましょう。
受講者に面談をして理解度を確認したり、インシデントの発生件数を研修前後の期間で比較したりして測定ができますが、理解度テストでも効果測定が可能です。
NPO日本ネットワークセキュリティ協会では「情報セキュリティ理解度チェック」という診断テストが公開されています。無料で利用でき、管理者ページで自社の弱い分野がわかります。
サイバーセキュリティ教育の助けになる無料の資料
企業のサイバーセキュリティを向上させるため、官公庁や団体が資料を無料で公開しています。
サイバーセキュリティに関連する団体はいくつかあります。
- 独立行政法人情報処理推進機構「情報セキュリティ対策支援サイト」
- 一般社団法人日本情報経済社会推進協会「プライバシーマーク制度」
- 内閣サイバーセキュリティセンター「サイバーセキュリティ・ポータルサイト」
- 一般社団法人日本データ通信協会「迷惑メール相談センター」
- 総務省「国民のための情報セキュリティサイト」
ここで紹介した資料以外にも多くの資料をダウンロードできるので確認してください。
中小企業の情報セキュリティ対策ガイドライン
情報処理推進機構セキュリティセンターでは、中小企業の情報セキュリティ対策ガイドラインが公開されています。最新の第3.1版では、テレワークでの安全策やサプライチェーンを足掛かりにする標的型攻撃についても書かれています。
PMS運用のための社内教育用参考資料
日本情報経済社会推進協会では、個人情報保護マネジメントシステム(PMS)を運用する事業者のための資料を公開しています。PDFと動画で個人情報の取り扱いについて学べます。
参考:社内教育用参考資料
インターネットの安全・安心ハンドブック
内閣サイバーセキュリティセンターでは、インターネットの安全・安心ハンドブックを無料でダウンロードできます。
このハンドブックはサイバーセキュリティの知識として知っておくべきことをわかりやすく説明しています。
社員教育でサイバーセキュリティを学ばせることは会社の財産を守ること
この記事では、社員教育でサイバーセキュリティをする方法や役立つ資料などを紹介しました。
サイバーセキュリティは個人が悪意なく行った行為でも崩れてしまい、会社や顧客に損害を与える可能性があります。危険な行動や注意すべき点などを知っておくことで、セキュリティを守ることができるのです。
不注意なクリックやメール送信が個人情報漏洩やシステムダウンにつながることを、社員教育の度に繰り返し教えることが重要です。
自社の資産や信頼を守るためにもしっかりとサイバーセキュリティ教育を行いましょう。
年商5億円を超えさらなるスケールアップを目指す経営者必見!
あなたのビジネスをスケールアップさせる集客と組織作り、
さらに、成功事例やここだけのお得な内容をお届け致します。
