企業が情報セキュリティ体制を強化するにあたって、非常に重要な作業となるのが社内教育です。
情報セキュリティという分野は、学校教育等で詳しく学ぶ機会が少ないため、企業の経営者は従業員にその重要性を落とし込む必要があります。
ここからは、企業における正しい情報セキュリティ教育について解説しましょう。
情報セキュリティ教育の対象は?
企業が情報セキュリティ教育を行う際は、まずは対象を明確にするところから始めましょう。
具体的には、以下の4者が教育対象となります。
・幹部
・セキュリティ管理者
・セキュリティ技術者
・一般従業員
では次は、各対象にどのような教育をすれば良いのかを見ていきましょう。
幹部
幹部とは、企業の経営に深く携わる役員、そして情報セキュリティ最高責任者(CISO)を指しています。
また、幹部に対する情報セキュリティ教育をする際には、最初に組織として、情報セキュリティ対策が重要であるという認識を一致させる必要があります。
また、その後は教育に必要な投資を行い、セキュリティポリシーの作成・実行が行えるだけの知識を身に付けさせなければいけません。
セキュリティ管理者
セキュリティ管理者は、企業におけるセキュリティ管理を統括する役職です。
先ほど触れたCISOが、セキュリティポリシーの策定やインシデント発生時の指揮、経営陣と情報セキュリティ関連事項の橋渡しを担うのに対し、こちらはより現場に近い役職となります。
また、企業がセキュリティ管理者に行うべき教育としては、社内で確立させた情報セキュリティ、不正侵入対策の基礎を熟知させることが挙げられます。
こうすることで、企業の意思が反映された適切なセキュリティ管理が実施できます。
セキュリティ技術者
セキュリティ技術者は、サーバに関連する業務や、情報セキュリティを専門に担当するエンジニアです。
具体的には、企業におけるITインフラの中で、サーバの構築や運用・保守を専門とし、セキュリティに配慮したシステム設計・運用、インシデントを防ぐための調査や対策などを行う役職を指します。
また、セキュリティ技術者には、セキュリティポリシーに基づく情報セキュリティ対策を実際に行えるよう、知識と技術の両方を習得させる必要があります。
ちなみに、この教育は全社単位、事業所単位、部門単位で実施しなければいけません。
一般従業員
一般従業員は、幹部やセキュリティ管理者・技術者に比べて多くの権限を持っていませんが、必ず情報セキュリティ教育の対象にしなければいけません。
具体的には、ウイルス等の感染を防ぐために、何を行わなければいけないのか、そして何をしてはいけないのかを理解させることが重要です。
また、教育内容は時間の経過とともに陳腐化してしまうため、定期的に補充教育をしなければいけません。
半年もしくは1年に1回、一般従業員を対象とした情報セキュリティ講習を開きましょう。
補充教育のタイミング
先ほど、一般従業員への教育内容は、時間の経過とともに陳腐化してしまうため、適宜補充教育が必要だという話をしました。
もちろん、これは幹部やセキュリティ管理者・技術者に対しても言えることですが、一体どのようなタイミングで行えば良いのでしょうか?
主なタイミングとしては、以下が挙げられます。
・セキュリティポリシーの改定時
・インシデント発生時
・人事異動後
・遵守していないことが発覚したとき(再教育)
半年もしくは1年に1回開催する補充教育は、上記に含まれません。
よって、企業は1年に数回程度、すべて従業員に向けた補充教育を実施する必要があります。
“情報セキュリティ読本”の導入は効果的
企業は効率良く情報セキュリティ効率を行うために、“情報セキュリティ読本”を導入することも検討しましょう。
これは、コンピュータやネットワークユーザーを対象に、情報セキュリティについての基本をわかりやすく明記したものです。
また、本誌には、企業の経営者やその他の経営陣が、経営資産を守る一貫として、あるいは社会基盤の一部を担う立場として、情報セキュリティをどのように考慮すべきかについても書かれています。
つまり、導入することで情報セキュリティ教育に活かせるだけでなく、経営陣の知識向上にも繋がるということです。
ちなみに、情報セキュリティ読本は全国の書店で販売されていて、気軽に情報セキュリティの全体像が把握できるように工夫されているため、冒頭から追読するのも、目次を見て興味もあるページから読むのも良いでしょう。
細かい情報セキュリティの知識に関しては、ここ数年の間に販売された書籍から適宜採り入れることをおすすめします。
まとめ
ここまで、企業が実施すべき正しい情報セキュリティ教育について解説しましたが、いかがだったでしょうか?
情報セキュリティ体制は、企業の経営者やその他の経営陣だけが知識や技術を持っていても強くなりません。
管理者や技術者、一般従業員にも協力を仰ぎ、一丸となって対策を取ることで、初めて多くの脅威に対抗できる情報セキュリティ体制が作られます。
