情報セキュリティ教育で重要な6つの項目

                                                                  情報漏洩は、企業にとって大きなダメージを被るものです。情報セキュリティ教育の必要性と、教育するべき内容について解説します。

情報セキュリティ教育は必要

企業の情報資産を守るために情報セキュリティ教育が必要です。
情報漏洩の多くは人的な要因であり、誤操作、紛失・置き忘れだけで全体の約47%を占めています。
社会へのデータの持ち出し、SNS などへの情報公開などもあり、情報セキュリティ事故は企業の信用を落とし、経営に 大きな影響を与えるのです。

情報セキュリティ教育はポリシーの策定から始める

セキュリティポリシーを策定する際には、事業内容や扱う個人情報の範囲について検討する必要があります。
セキュリティポリシーに盛り込む内容は基本方針、対策基準、実施手順の3点です。

セキュリティポリシーを策定するだけで終わってはいけない

企業トップが発信し、周知させることが大切です。
職場に配布、イントラネットに掲示していつでも見られるようにしておきましょう。

教育する対象者は全ての従業員

派遣社員やアルバイトも会社の情報に触れるため、教育は全従業員を対象に行う必要があります。
場合によっては、業務委託先に対しての教育も行いましょう。

教育を行うタイミング

・情報セキュリティポリシーの運用開始のタイミング
・情報セキュリティポリシーを変更したタイミング
・他社や関連企業、自社で情報セキュリティに関する事件や事故が起きたタイミング
・新人研修のタイミング(新卒・中途採用を含む)

教育内容その1:.パスワード管理

機密情報の漏洩につながるおそれがあるので、パスワード管理についての教育が大切です。
他人に推測されにくい、ツールで割り出しにくいパスワードの作成および、パスワードの保管は 他人に知られないこと、自分で忘れないことが重要です。

教育内容その2:メールの誤送信

個人情報の流出につながるおそれがあるので、電子メールの誤送信についての教育が大切です。
オートコンプリートは便利であるものの、頼りすぎると宛先を間違えるおそれがあります。
BCC: で送るべきところを CC: で送ってしまうと、すべての受信者のメールアドレスがわかってしまうのです。

教育内容その3:バックアップ

パソコンを安全に使用するためにバックアップが重要です。
バックアップを行うにはCD-R、 DVD-R、DVD+R、外付けのハードディスク、オンラインストレージなどがあります。
バックアップした情報の取り扱いについても教育する必要があるでしょう。(社外への持ち出しの禁止、適切な保管方法など)

教育内容その4:ウイルス対策

社内ネットワークを守るためにもウイルス対策についての教育が大切です。
ウイルス対策ソフトをインストールし、ウイルス検知用データを常に最新にしておきます。
定期的なウイルススキャンの実行による安全性の確保と、USB媒介ウイルスへの対策が重要です。

教育内容その5:安全な無線 LAN

通信内容を盗聴されるおそれがあるので、公衆無線LAN利用時についての教育が必要です。
データの盗聴やウイルス感染のおそれがあるため、 公衆無線LANを利用する際はファイル共有機能を解除する必要があります。
悪意のある第三者により設置された無線 LAN もあるので信頼性を確認してからアクセスする必要があるでしょう。

教育内容その6:SNS

情報の流出や企業イメージの失墜につながるおそれがあるので、SNSを利用する際の注意点について教育する必要があります。
利用するサービスの規約を守り、アカウント情報の適切な管理を行いましょう。
企業イメージを傷つけるような発言は避けることも教育します。

教育の結果を定期的に確認しよう

情報セキュリティ教育を行った結果、どのような効果を得られたのかチェックする必要があります。
教育を行ったあとで理解度をテストするのも有効であり、教育を行った内容について理解度が浅い、守られていない場合は再教育が必要です。
情報セキュリティ対策にゴールはありません。
情報セキュリティを強化しても、リスクや脅威は常にあるのです。定期的な教育を行い、全従業員のセキュリティ意識を高めていくことが大切だといえるでしょう。