セキュリティ研修はどう実施すべき？

自社のセキュリティ対策の一環として、セキュリティ研修は欠かせない。今回は企業がセキュリティ研修を実施する場合の対象範囲、期間、内容などを解説します。

セキュリティ教育を企業で実施する場合において、不適切なものはどれでしょうか。

1.セキュリティ研修の対象者が正社員のみ
2.セキュリティに関する教育は入社時に1回のみ
3.新しいウイルス攻撃だけでなく、情報漏えいや内部犯行対策なども含む

1と2

企業がセキュリティを強化する具体的な方策として、ファイアウォールなどセキュリティ機器の導入、SOC（Security Operation Center）（※1）やCSIRT（Computer Security Incident Response Team）（※2）といった組織体制の整備に加えて重要なのが、従業員への教育です。

現在は部署や職種にかかわらず、ほぼすべての従業員がパソコンや携帯端末などを用いて、メールや業務システムなどで日常業務を行っていますが、それらの中には様々なセキュリティリスクが潜んでいます。従業員がセキュリティの事故を起こさないよう、セキュリティ教育を適切に実施する必要があります。

セキュリティ教育を実施する上で、まず考慮したいのが対象者の範囲。自社の正社員はもちろん、派遣社員や契約社員、常駐の外部スタッフなど、業務に携わる人すべてに実施することが望まれます。本クイズの選択肢1は対象を正社員のみとしているので不適切です。

実施の頻度もポイントです。セキュリティの情勢は、新しいウイルスや攻撃手法は続々と登場し、また、取り扱う情報や使用する機器・システムなど業務の環境も変わるもの。刻々と変化するセキュリティ情勢に対処するには、従業員のリテラシーも常に更新しなければなりません。そのためには、研修を少なくとも年に1回は実施するとともに、新たなウイルスが流行した際などは教育や周知などを適宜行いましょう。本クイズの選択肢2は実施頻度を入社時に1回のみとしているので不適切です。

教育の内容では、外部からの攻撃だけでなく、内部犯行対策も含めた教育を実施しなければなりません。近年は顧客情報漏えいといった経営に大打撃を与えるセキュリティ事故の原因の多くが、従業員の不正な持ち出しに代表される内部犯行です。内部犯行を未然に防ぐために、セキュリティ教育のカリキュラムは、内部犯行対策も必ず網羅する必要があります。本クイズの選択肢3は内部犯行対策も含めているので適切です。

セキュリティ教育は対面での集合研修にせよeラーニングにせよ、以上をポイントとして実施しましょう。

セキュリティ教育は以下を留意して実施しましょう。

• 対象者は業務に関わる者すべて
• 定期的に実施するともに、ウイルス流行などがあれば適宜実施
• 外部からの攻撃に加え、内部犯行も内容に含める

（※1）セキュリティ機器やネットワーク、デバイスの監視をして、サイバー攻撃の検出や分析、通知を行う組織

（※2）組織内の情報セキュリティで問題が起こっていないか監視すると共に、インシデントに対しても原因解析や影響範囲の調査を行ったりするチーム