情報セキュリティ教育とは？　実施方法やコンテンツ例を解説

1.目的と学習テーマを設定する

学習テーマや有効な実施方法を選定するためにも、まずは情報セキュリティ教育を行う目的を明確化します。自社の情報セキュリティ関連の課題や、過去に受けたサイバー攻撃の事例などを洗い出した上で、目的を設定するといいでしょう。過去の事例などがない場合には、他社の被害事例を参考に、将来起こりうるセキュリティ事故への対策として、目的を明確化します。

目的を設定したら、課題解決のために従業員に身に付けてほしい知識やスキルを決め、それに沿った学習テーマを選びます。学習テーマは例えば、「情報漏洩リスク」「機密情報の種類と取り扱い方」「守秘義務とは」「SNSの利用ルール」「情報端末の管理方法」「最新のサイバー攻撃の手口」など様々です。

2.対象者の範囲を決める

目的や学習テーマを基に、情報セキュリティ教育の対象者を選びます。雇用形態を問わず、学習テーマの業務に関わるすべての従業員を対象に選定します。

3.実施時期・頻度を決める

情報セキュリティ教育は、情報セキュリティに対する従業員の意識が高まるタイミングに実施すると効果的です。具体的には下記のようなタイミングです。

情報セキュリティ教育を行うタイミングの例

• 新入社員や中途社員の入社時
• 自社または同業他社でセキュリティ事故が発生したとき
• 社内ルールの変更時

年に1回、月に1回、半期や四半期に1回など、情報セキュリティ教育の実施頻度も決めます。学習内容の重要性に合わせてスケジュールを決めた上で、定期的に開催すると、従業員に知識や意識が定着しやすくなります。

4.実施方法を決める

情報セキュリティ教育の実施方法は、「eラーニング」「社内講師による集合研修」「外部セミナー」の3種類に大きく分けられます。学習内容や予算、受講する従業員の情報リテラシーの程度に応じて、適切な実施方法を選びましょう。以下では、各実施方法の特徴やメリット・デメリットを紹介します。

5.効果測定とフォローアップを行う

情報セキュリティ教育を実施したら、受講者への確認テストやアンケートによって効果測定を行います。その結果、情報セキュリティ関連の知識やスキルについて問題のある従業員がいれば、フィードバックやフォローアップをします。
また、効果測定の結果を踏まえて、教育の実施方法や使用するコンテンツを見直すことも大切です。

個人情報保護の基礎知識

個人情報保護の基礎知識は、業務にかかわらずすべての従業員を対象に、個人情報の適切な取り扱いの必要性を解説するガイダンス的な位置付けのコンテンツです。個人情報保護法の概要や、違反した場合の罰則内容、情報が流出・漏洩した場合の企業が負うリスクや損害など、個人情報に関わる基礎知識を伝えます。
企業は顧客情報や取引先の情報、会社に所属する従業員の情報など、多かれ少なかれ、個人情報を扱っています。個人情報保護に関する教育は、取り入れておきたい学習テーマです。

情報セキュリティの運用ルール

自社のセキュリティポリシーや、機密データの取り扱い方法などの情報セキュリティに関するルールについて学ぶコンテンツは、主に従業員の入社時に行うといい学習テーマです。従業員に自社のルールを周知する研修には必須といえるでしょう。
企業が取り扱う機密情報の種類や、導入しているセキュリティソフトなどによって、運用ルールは企業ごとに異なります。

攻撃メールの種類と対策

攻撃メールの種類や対策について学ぶコンテンツは、近年増加しているサイバー攻撃に対応するために有効です。顧客になりすましたメールでマルウェアに感染させようとするなどのサイバー攻撃の被害を防ぐには、実際のなりすましメールがどのような内容で、どのくらい巧妙なのか、従業員がその事例や対策を知っておく必要があります。

公衆無線LANの危険性

テレワークを導入する企業が増えたこともあり、社外でパソコンなどの端末を使用する従業員も少なくありません。不用意に公衆無線LANに接続してしまうと、他の端末からの不正アクセスや、利用者のなりすまし、不正なアクセスポイントによる通信傍受などの危険性があることを学習テーマとするのも効果的です。安全なアクセスポイントの見分け方や、社外から接続する際の社内ファイルの取り扱いルールなども、学習テーマになります。
自社でテレワークを行っていなくても、取引先や子会社が行っている場合には、テレワーク環境におけるサイバー攻撃の危険性を知っておく必要があります。

IPAの「情報セキュリティ・ポータルサイト」

IPAが運営する「情報セキュリティ対策支援サイト」では、経営者、IT・セキュリティ担当者、従業員などの対象者別に、情報セキュリティ対策において心掛けるポイントをまとめた資料（PDF・動画）が提供されています。
カテゴリ別に様々な資料が揃っているため、そのまま利用するほか、自社で教材を用意する際の参考資料として役立てることができます。

総務省の「国民のためのサイバーセキュリティサイト」

総務省の「国民のためのサイバーセキュリティサイト」は、情報セキュリティ対策を講じるための基礎知識を提供しています。中でも「職場での対策」の項目では、システム利用者、システム管理者、経営層に向けた情報セキュリティ対策を解説しています。
また、情報セキュリティ関連の事故・被害の事例や用語集も掲載されているため、研修の資料作りにも活用できるでしょう。

内閣サイバーセキュリティセンターの「インターネットの安全・安心ハンドブック」

内閣サイバーセキュリティセンター（NISC）が提供している「インターネットの安全・安心ハンドブック」も、情報セキュリティ教育の教材として利用しやすい資料です。このハンドブックでは、インターネットを安全に利用するための基本的なポイントがまとめられています。

主な内容として、以下のようなテーマが紹介されています。

「インターネットの安全・安心ハンドブック」の主な内容

• パスワードの適切な管理方法
• フィッシング詐欺や不審メールへの対処方法
• SNS利用時の注意点
• スマートフォンやパソコンのセキュリティ対策
• インターネット利用時のトラブルへの対応方法

これらの内容は、従業員が日常業務や私生活でインターネットを安全に利用する際の、基本知識の学習に最適です。

ログ監視ツール

ログ監視ツールは、従業員のパソコンからのファイル操作や、Webサイトへのアクセスなどのログを監視し、不正な挙動を検知して管理者に通知するシステムです。
従業員が情報リテラシー不足によって、不適切な操作やアクセスをしようとした場合も、ログ監視ツールがあれば管理者がすぐに気付いて対処できます。

併せて読みたい

• ログ監視とは？　目的や監視ツールのメリット・デメリット、機能を解説

Webアクセス監視

Webアクセス監視ができるツールを使えば、特定のURLを含むWebサイトへのアクセスを制限できます。
従業員の適切なWeb閲覧を促進し、業務に関係ないサイトへのアクセスを防ぐことができます。

不正操作へのアラート

従業員の端末操作に対して、オリジナルのアラートを表示できるツールもあります。セキュリティリスクの高い挙動があった場合に、「許可されていないキーワードを含むアクセスのため表示できません」「業務に必要な場合は要申請」などの警告文を表示することができます。
従業員の操作に対して、セキュリティリスクがあることを都度通知できるため、従業員の情報リテラシー向上にもつながるでしょう。