従業員をサイバー攻撃の被害者・加害者にさせないためのセキュリティ研修

2024年1月配信（2024年2月29日公開） Column

情報セキュリティ・サイバーセキュリティの重要性は広く認識されているものの、組織全体に行き渡っているわけではないようです。弊社が実施したアンケート結果によれば、特に情報システム部門以外の従業員において認識不足が明らかになりました。この問題は、新入社員（中途も含めて組織に新たに加わった社員）、特に新社会人において顕著です。セキュリティへの意識の低さから、ビジネスへのリスクが生じることもさることながら、新入社員が知らず知らずのうちにサイバー攻撃の被害者・加害者になる恐れがあるからです。そこで、本稿では新入社員がセキュリティの知識や責任感、法令遵守への意識を高めるための教育プログラムの重要性に焦点を当て、効果的な研修の一例を紹介します。

1. アンケートからわかる新入社員に対するセキュリティ教育の重要性
2. 新入社員に対するセキュリティ教育が必要な理由
3. セキュリティ教育の課題
4. サイバーセキュリティ教育カンパニーのGSXが提供する新社会人向け教育
5. 多くの従業員が機密情報に触れる機会がある組織におすすめします

1. アンケートからわかる新入社員に対するセキュリティ教育の重要性

GSXでは、中堅企業のサイバーセキュリティ対策の現状と課題を把握するため、2023年3月15日から3月17日にかけ、インターネットを通じたアンケート調査を実施しました。対象は従業員数が500名から5,000名までの情報システムに従事する方々です。特に、新社会人や新入社員の教育に関連しそうな調査結果をお伝えします。

1-1. 情報システム部門以外の従業員のセキュリティ意識が低い

株主、パートナー、経営者、情報システム部門といった、ステークホルダー別のセキュリティ対策への意識調査では、「情報システム部門以外の従業員」のセキュリティ意識が最も低いことが明らかになりました。35％がセキュリティ対策の重要性に対する認識が低いとなっています。情報システム部門の従業員の場合は8％ですので大きな差があります。この結果は、内部からのインシデント発生リスクが高く、全従業員向けの教育を早急かつ継続的に実施する必要があることを示しています。

1-2. セキュリティ対策において、教育の優先順位が高い

セキュリティ対策において優先されるべき項目の調査では、「従業員へのセキュリティ教育」と「セキュリティエンジニア教育」の課題が特に目立っています。この結果から、セキュリティ教育の優先順位が高いと認識する企業が多いことがわかります。

1-3. インシデントを経験した企業は従業員のサイバーセキュリティに対する意識が低い

インシデントを経験した企業に対して、セキュリティインシデントを防げなかった原因を聞いた結果では、「従業員のサイバーセキュリティに対する意識」が86％と最多となりました。攻撃動向を踏まえた従業員教育及びツールによる防衛策が必要だということがわかります。

2. 新入社員に対するセキュリティ教育が必要な理由

新社会人や新入社員に対するセキュリティ教育は非常に重要です。彼らは職場環境に不慣れであり、基本的なセキュリティ知識や、組織でのリスク認識が不足しているかも知れません。組織の一員としてどのような知識やリスク認識が必要か、考えてみましょう。

2-1. 知識不足

新入社員はしばしば職場のセキュリティ環境に不慣れであり、基本的なセキュリティ知識やリスク認識が不足しています。

例えば、フィッシング詐欺やマルウェアといった攻撃手法やその見分け方を知らないケースが多いです。彼らは学校や大学でセキュリティについて十分に学んでいないことが多く、職場独自のポリシーを理解するのは困難です。企業にとって、新入社員の教育は、セキュリティインシデントを防ぐための重要なステップです。

2-2. 責任意識

サイバー攻撃の増加と複雑化により、セキュリティは個々人の責任と意識が不可欠です。特に新入社員や他組織からの社員は、組織独自のセキュリティポリシーに不慣れであるため、彼らの行動一つでセキュリティインシデントが発生するリスクがあります。

例えば、安全でないネットワークへの無意識の接続や、機密情報の持ち出しなど不適切な取り扱いなどがあります。従って、適切なセキュリティ意識を持つことは、組織全体のセキュリティを保つために不可欠です。

2-3. 社内規則や法令遵守

新入社員にとって、所属する組織のセキュリティポリシーだけでなく、組織が関わる業界におけるデータ保護やプライバシーに関する法律、規制を理解することは非常に重要です。これは、ビジネスがグローバル化し、技術が進化する現代において、セキュリティ違反が企業に重大な影響を及ぼす可能性があるためです。

例えば、顧客データの漏洩や不適切な取り扱いが、企業の評判や顧客の信頼、財務的損失に直結する可能性があります。従って、新入社員がこれらの基準を理解し、適切に行動することは、企業の安全保障やビジネス継続に不可欠となります。

3. セキュリティ教育の課題

サイバーセキュリティ・情報セキュリティのための教育は従業員にとって不可欠ですが、知識の習得や責任意識の醸成、組織や業界特有のルールを理解するには、受け身の座学だけでは果たせないことがあります。実践的かつ効果的なセキュリティ教育・研修を実施する注意点や社内体制構築のポイントについて紹介します。

3-1. 受け身の座学だけでは不安

eラーニングや動画ベースの研修は、情報の伝達には有効ですが、実際の職場で直面する複雑な状況への対応や実践的なスキルの習得には限界があります。このため、参加者が能動的に学び、問題解決する機会を提供する実感を伴ったワークや体験が不可欠です。

また、管理者による参加者の理解度や進捗の確認が難しく、個々のニーズに応じた指導やフィードバックを提供することが困難であり、学習効果を最大限に引き出すためには、より実践的かつインタラクティブな教育方法の採用が求められます。

3-2. 社内体制の構築も必要

新入社員向けの情報セキュリティやサイバーセキュリティ研修を実施するには、組織全体の方針決定と各部門との調整が重要です。

まず、トップマネジメントがサイバーセキュリティに対する強い意識を持つことは、組織全体のセキュリティ文化を形成し、研修の重要性を強調する上で不可欠です。

新入社員の採用、配属に関わる人事との連携という観点では、事業部門は人事に対して、新人が現場に配属される前に必要十分な教育を施しておくことをリクエストしておかなければなりません。

そして、人事部門はその要望をもとに、情報システム部門やセキュリティ部門、法務部門などと協働して、必要な教育カリキュラムの方針を決めていかなければなりません。

セキュリティ管理部門や情報システム部門は、より具体的な研修内容の策定や運営計画を行い、人事部門と連携して新入社員の研修スケジュールや管理を担います。

4. サイバーセキュリティ教育カンパニーのGSXが提供する新社会人向け教育

GSXは、情報セキュリティ・サイバーセキュリティに特化した専門会社です。セキュリティコンサルティングや脆弱性診断、サイバーセキュリティソリューションに加え、セキュリティ教育サービスを提供しています。ここでは、新入社員向けセキュリティ教育の一例として「新社会人向けセキュリティマナー研修」を紹介します。

4-1. 新社会人向けセキュリティマナー研修の概要

「新社会人向けセキュリティマナー研修」は、サイバー脅威の理解と社会人としての適切な意識を持つための教育プログラムです。このプログラムでは、情報セキュリティの知識を体系的に学びます。GSXの専門家が講師を務め、受講者は自身のパソコンを使用して受講できます。講義に加え、理解を深める個人作業や確認テストが含まれており、知識と意識の定着を促します。費用は1人あたり8万円（税別）で、最少参加者数は5人となっています。

4-2. 「新社会人向けセキュリティマナー研修」カリキュラム紹介

まず、研修の目的、目標、評価基準を明確に伝えたのち、以下のような講義・ワークを展開していきます。

4-2-1. セキュリティ基礎

セキュリティの基本的な要件について講義により理解します。インシデント事例を取り上げ、身近な問題であることを認識し、社会人としての当事者意識を持つことを重視します。事例を基にセキュリティの考え方を解説し、ワークシートの作業方法を指示します。

ポイントとして、セキュリティのCIA（Confidentiality：機密性、Integrity：完全性、Availability：可用性）の説明や、IPA（情報処理推進機構）の10大脅威における「個人」に焦点を当てる内容が含まれます。内容が難しくならないように配慮した導入をします。

4-2-2. セキュリティインシデント事例調査

次に、受講者自身がインシデント事例を調査することにより、企業でのセキュリティインシデントが起こることの深刻さを理解し、当事者意識を高めます。

作業説明に基づき調査し、ワークシートに結果をまとめます。ポイントとして、インターネットで企業におけるセキュリティインシデントの事例を調べることや、個人情報流出とそれに伴う損害額などのキーワードを示して事例を紹介します。

4-2-3. サイバー攻撃の実例

攻撃のデモンストレーションを通して脅威のイメージや危機意識を持たせます。遠隔操作されるデモンストレーションやウイルス感染の実態を目の当たりにすることで、参加者に危機意識を向上させるよう努めます。自分が被害者になる可能性や、知らず知らずのうちに加害者になってしまうリスクへの理解も促します。

4-2-4. セキュリティインシデントケーススタディ

指定されたワークシートにインシデント事例の分析結果をまとめ、その内容を深く理解し、その対応策について考える機会を与えます。作業中には講師への質問も可能です。

4-2-5. セキュリティマナー

社会人として身につけるべき基本的かつ具体的なセキュリティ行動を講義により学びます。日常生活でのセキュリティ対策を具体的に理解し、それを実践に落とし込むことを目指します。さらにワークシートを用いて、自身がどのように行動すべきかを個別にまとめていくことで、意識を向上させ、日々の行動変化につなげていきます。

4-2-6. 確認テストと振り返り

学んだ内容の振り返りと知識の定着を目指し、確認テストを実施します。テストのあとのまとめとして、セキュリティマナーの身に付け方、セキュリティの基礎を学び自ら分析すること、セキュリティインシデント事例を知り、その重要性を理解すること、そして日頃の行動を見直して、社会人としての適切な姿勢を確認することなどを振り返り、再認識します。また、受講者アンケートによって、研修に対するフィードバックも収集します。

5. 多くの従業員が機密情報に触れる機会がある組織におすすめします

セキュリティは重要だとわかっていても、実態としては組織全体に浸透している組織はまだまだ少ないようです。特に、新社会人や新入社員に対するセキュリティ教育は、組織を保護するだけでなく、彼ら自身を加害者にしないためにも重要です。

今回紹介した「新社会人向けセキュリティマナー研修」は、特に大量の個人情報を扱う企業や、お客様から預かる機密情報がビジネスの重要な要素となっている企業に向いています。多くの従業員がこれらの情報に触れる機会が多い企業・組織の方は、ぜひ導入をご検討ください。