新入社員向け情報セキュリティ教育のススメ！情報漏洩のリスクから会社を守る

DXなどでデジタル化が進む中、セキュリティに関する問題は企業にとって大きな課題です。近年ではヒューマンエラーによる情報漏洩事故も多くなっており、多額の損害を被った例も少なくありません。こうした事態を避けるためには、セキュリティ教育を行って、社員のセキュリティに対する意識を向上させることが大切です。本記事では、主に新入社員向けに行うべきセキュリティ教育について解説します。

企業には多くの情報セキュリティリスクがあります。その中でも注視したいのが「ヒューマンエラーによる情報漏洩」です。
独立行政法人情報処理推進機構（IPA）の「情報セキュリティ10大脅威 2024　組織編」によると、3位に「内部不正による情報漏えい等の被害」、6位に「不注意による情報漏えい等の被害」、8位に「ビジネスメール詐欺による金銭被害」と、社員の意識やミスによる情報漏洩が多くなっています。実際、東京商工リサーチが2024年1月に発表した「2023年上場企業の個人情報漏えい・紛失事故調査」によると、2023年に上場企業とその子会社が公表した情報漏洩・紛失事件は175件で、そのうち半数近くが、誤送信や誤廃棄、不正持ち出しなどのヒューマンエラーでした。

企業が情報漏洩を起こせば、信用が失墜します。顧客離れや株価低下で売上が落ちる中、顧客に損害が出れば、金銭的賠償も行う必要があります。
例えば、ある大手企業が内部不正によって約3,500万件の個人情報を流出させた際には、200億円以上を特別損失として計上することになりました。サーバー移設時のミスによって、顧客の個人情報がインターネット上に公開された事例では、情報が悪用され、企業が1人あたり3万5,000円の損害賠償を支払っています。二次被害がない場合でも、顧客1人あたり3,000円～5.000円の慰謝料が必要です。1件あたりの平均想定損害賠償額は6億円を超えるとされています。

ヒューマンエラーによる情報漏洩を防ぐには、セキュリティ意識の高い人材を育成する必要があります。
トレンドマイクロと特定非営利活動法人CIO Loungeが、2023年に1月に発表した「サイバー攻撃による法人組織の被害状況調査」によると、セキュリティ対策の阻害要因は「対策を行うためのスキルセットを持つ人材や専門組織が不足」が74.4％、「対策を行うための人材の数が不足」が63.3％と、セキュリティ対策のスキルを持った人材がいないことが主な要因となっています。
セキュリティリスクを理解し、対策を行える人材がいることは、企業の情報を守ることにつながります。精通した人材は育てられなくても、教育で社員一人ひとりの理解と意識を深めれば、情報を守れる可能性は上がるでしょう。

企業の情報漏洩に関しては、下記記事もご参照ください。

【関連記事】企業の情報漏洩対策とは？流出の原因やリスク、事例も紹介

セキュリティ教育の意義は「ヒューマンエラーを防げること」です。ただ、それは副次的な効果に過ぎません。セキュリティ教育を行うことで、社員の意識向上や組織文化の変化のほか、外部からの見方も変わります。ここでは、セキュリティ教育の意義を3つ、ご紹介します。

社員の意識向上

セキュリティ教育によって、社員のセキュリティ意識が高まります。

ヒューマンエラーが生まれるのは「セキュリティ意識の低さ」が原因です。どんなにセキュリティレベルの高いシステムを導入しても、社員のセキュリティに対する意識が低ければ、情報漏洩が起こる可能性があります。実際、誤送信や紛失などの情報漏洩事件は、担当者1人のヒューマンエラーで起こっています。
セキュリティ意識が低いと、扱っている情報の重要性が理解できずに杜撰な管理を行ったり、サイバー攻撃の怖さを知らずにセキュリティの甘いシステムやサービスを利用したりする危険性があります。個人が高いセキュリティ意識を持つ必要があるテレワークも難しいでしょう。
個人情報の重要性や、情報漏洩の危険性を社員一人ひとりが理解し、セキュリティに対する意識が高まれば、情報漏洩を未然に防げる可能性が高まります。

組織文化の変化

セキュリティ教育を行うと組織文化も変化します。

「社員一人ひとりがセキュリティ意識を持つことが大事」という環境を作り、継続していくと、自然とセキュリティ文化を重視する社風になります。セキュリティ意識の高い社風は、社員一人ひとりのセキュリティに対する行動を促し、より高いセキュリティ意識を持つことにつながります。
実際、高いセキュリティ文化を誇るAWSでは、週に1度経営者とセキュリティに関するミーティングを行ったり、セキュリティの専門家が各部門のセキュリティに対してレビューをしたりなど、セキュリティへの高い意識を持つことが社風となっています。
普段から「情報漏洩の加害者・被害者になり得る」という意識を社員が持つことが大切です。例えば、離席をする際には都度キャビネットに鍵をかけたり、パソコンをロックしたりして、日常の行動からでもセキュリティを意識した「文化」にしていきましょう。

コンプライアンスによる企業価値の上昇

セキュリティ教育は、コンプライアンスによる企業価値の上昇につながります。

コンプライアンスとは「法令遵守」であり、社会的・倫理的ルールを守ることです。情報漏洩はコンプライアンス違反の一種であり、企業価値が大きく下がる要因になります。
帝国データバンクの調査によると、2023年にコンプライアンス違反で倒産した企業は342件。違反内容は業法違反や粉飾決算などが多いですが、いずれも不正によって顧客からの信用を失ったことが倒産の一因です。特に情報漏洩に関しては、信用を失うだけでなく、慰謝料や賠償金の支払い、再発防止策を採るまで営業を再開できないなど、金銭的に追い詰められるケースもあります。
逆にセキュリティ教育を実施してセキュリティ意識を向上させることは「コンプライアンスを適切に実施している」というイメージになり、企業価値がアップします。

サイバー攻撃にはさまざまな手段があり、対抗するにはさまざまな策を講じる必要があります。特に企業は情報の重要性から狙われる危険性が高く、社員もそれらの内容を把握して、危険性と対抗策を学ばなければなりません。ここからは企業で実施すべき代表的なセキュリティ教育をご紹介します。

フィッシングへの対策

セキュリティ教育では、フィッシングへの対策が必須です。フィッシングとは、実在する企業などを名乗り、情報を入力させて盗み取る詐欺の手口。一般向けにも行われていますが、企業のアドレスにメールが送付されてくる場合もあります。メールには【至急】などの操作を急ぐ文言があり、本物と似た偽サイトに誘導されて情報を入力させることが多くなっています。
【至急】などの文言があっても慌てずに、メールアドレスや内容に不審な点がないか確認を徹底するよう指導しましょう。怪しいメールが来た際には、IT部門などに相談し、フィッシングへの対策を行うように報告も義務付けると効果的です。
サイバー攻撃は多様化しており、フィッシング以外にもさまざまな攻撃があるため、それらに対抗する教育も必要になります。

サイバー攻撃については、下記記事を参照してください。

【関連記事】サイバー攻撃とは。企業が「加害者」になり得るリスクとその対策。

情報やパスワードの管理方法

情報やパスワードの管理は、セキュリティ教育の基礎です。セキュリティソフトの導入やOSのアップデート、個人情報の適切な扱い、クラウドサービスのセキュリティ設定などを行い、情報漏洩が起こらない環境を作るよう指導しましょう。

パスワードは他人に見える場所に放置しない、安易に予測できるパスワードにしない、使い回さないなどの対策が有効です。可能であればMFA（多要素認証）などの導入も検討しましょう。また個人情報保護法などの法律についても学び、情報漏洩の影響や罰則などを理解してもらうのも良いでしょう。

パスワードの管理については、下記記事で詳しく説明しています。

【関連記事】増え続ける不正アクセス！ID管理の徹底や多要素認証が求められる

ヒューマンエラーの防止

セキュリティ教育では、具体的なヒューマンエラーの防止策も指導しましょう。

ヒューマンエラーで特に多いのが、メールの誤送信です。アドレスのオートコンプリート（アドレスを予測して自動で入力してくれる機能）を利用した場合には、宛先やCC、BCCの相手が間違っていないか確認する、重要なメールは上長が確認してから送付するなど、確認作業を徹底させましょう。
パソコンやUSBメモリ、スマートフォンなどの持ち込みについても、社内ルールを定めて厳重に管理を行うことで、情報の持ち出しを防げます。

最新のセキュリティ情報

サイバー攻撃は年々進化するため、セキュリティ教育も常にアップデートしていく必要があります。最新のセキュリティ情報を社員で共有しましょう。

近年では多様化するサイバー攻撃や内部不正、ヒューマンエラーに対抗するために「SASE」や「CASB」といったシステムが注目されています。こうしたシステムを学んで採り入れるのも効果的です。

SASE、CASBについては、下記記事をご覧ください。

【関連記事】SASEとは？構成要素やメリットなど、現在に必要とされるセキュリティ対策をわかりやすく解説
【関連記事】SASEとCASBの違いとは？ゼロトラストとの関係も解説
【関連記事】CASB（キャスビー）とは？クラウド利用で知っておきたい機能やメリットなどをわかりやすく解説

セキュリティ教育は、テーマや学習形態が複数あり、企業側も準備が必要です。ここからはセキュリティ教育プログラムの構築方法をご紹介します。

1．テーマ・対象者の決定

まずはテーマと対象者を決めましょう。

テーマを決める際には、セキュリティ教育を行う目的を明確にすることが大切です。自社が抱えるセキュリティ課題を解決できるスキルを身に付けたり、直近に起こったセキュリティ事故やインシデントを意識したりできるテーマが望ましいです。目的を明確にするとテーマを設定しやすくなります。例えば「サイバー攻撃の手段を知って事前防止策を採る」という目的であれば「フィッシング詐欺」や「ブルートフォース」「DDoS」などの攻撃手段と、その対応策を学ぶと良いでしょう。
対象者は基本的に「テーマに関わるすべての人間」が理想です。場合によっては、契約社員や外部委託先などにも教育をする必要があります。役職や部署で取り扱う情報の質や責任が違う場合は、役職ごと、部署ごとに開催する方法も検討しましょう。

2．実施時期の決定

テーマと対象者が決まったら、実施時期を決めましょう。

実施時期は、新入社員の入社や異動など、環境が変わる時期や、社内外でセキュリティ事故やインシデントが発生したときなどが望ましいです。セキュリティ教育は、定期的に行うことが重要なため、月に1度、3ヶ月に1度など、開催頻度も同時に決めておくと良いでしょう。

3．学習形態の決定

次に学習形態を決めましょう。学習形態には、主に「社内研修」「eラーニング」「外部研修」の3つがあります。

社内研修は、時間と場所を決めて対象者を集め、講師を用意して学習する方法です。自社に合わせた講義内容にしやすく、より現場に即した再現性の高い教育ができます。ただし、教材や講師を自社で用意する必要があり、担当者の負担が大きいことがデメリットです。

eラーニングはオンラインで講座を受講する勉強方法。インターネットにアクセスできる環境があれば、場所を問わずに勉強できます。教材を用意しているサービスを利用すれば、準備の手間も省けることもメリットです。一方で、時間や場所を選ばないことから強制力が弱く、資料などを見続ける講座の場合は理解が乏しくなる場合もあります。

外部研修は、外部で開催されているセミナーなどに対象者を参加させる方法です。教材の準備が必要なく、専門家による教育を受けられます。ただし、会場まで足を運ぶ必要がある、学んできた内容が自社に合うとは限らないなどのデメリットもあります。

大切なことは、対象者の業務状況や身に付けたいスキルによって適切な学習形態を選ぶことです。

4．効果測定・改善

教育を実施したあとは、効果測定をします。具体的には、理解度テストの実施やセキュリティに関連するインシデントの回数を確認しましょう。

教育によって効果が表れているなら問題ありませんが、効果が見られないようならフォローを行います。またコンテンツや学習形態を見直して、次回の教育に活かしましょう。

セキュリティ教育を効果的にするためには、事前準備や繰り返しのトレーニングの他、上長の意識改革も重要になってきます。ここではセキュリティ教育におけるポイントをご紹介します。

セキュリティポリシーを策定する

セキュリティ教育を行う前に、企業のセキュリティポリシーを策定しましょう。セキュリティポリシーとは企業におけるセキュリティ対策をまとめたもので、セキュリティ教育はセキュリティポリシーに基づいて行います。
まずは全体像である基本方針をまとめ、現場での対応を対策基準、実施手順として記載します。セキュリティポリシーは、機密情報を閲覧できるすべての従業員にかかわるため、誰でも分かりやすい内容にすることが大切です。
またセキュリティ事情は常に変化するため、定期的に見直して、最新の脅威に備えられるようにしておきましょう。

当事者意識を持てる内容にする

セキュリティ教育は当事者意識を持てることが大切です。当事者意識が持てないと、現場でセキュリティ教育を活かせません。
当事者意識を持たせるためには「再現性の高い内容」にすること。仕事現場はもちろん、日常生活で遭遇する場面などを取り上げ、学んだ知識やスキルが日ごろから活かせることを知ってもらいましょう。
インプットした内容は、実際のシーンを想定したトレーニングでアウトプットすることで、当事者意識を持てるだけでなく、いざというときに対応できるようになります。

経営者や上長が積極的に教育に参加する

セキュリティ教育では、経営者や上長が積極的に教育に参加しましょう。経営者や上長が学ぶべきセキュリティ対策は別にありますが、率先して教育に参加することで、部下も参加しやすくなります。
経済産業省が発表している「サイバーセキュリティ経営ガイドライン」でも、サイバー攻撃から企業を守るための三原則として「経営者のリーダーシップが重要」「サプライチェーン全体にわたる対策への目配り」「社内外関係者との積極的なコミュニケーション」が提示されています。
経営者や上長も巻き込んでセキュリティ教育を行うことが重要です。

継続してトレーニングを行う

セキュリティ教育は、継続してトレーニングを行うことが重要です。1度の学習だけでは社内に定着しませんし、サイバー攻撃は日々進化します。そのため繰り返しトレーニングを行って学んだ内容を社内に定着させ、新しい攻撃への対策も学ぶ必要があります。
現在ではセキュリティ教育に活かせるツールが充実しており、セキュリティ意識向上トレーニングが行えるものもあります。こうしたツールでは、通常のセキュリティ講義のほか、疑似フィッシングや詐欺メールを送付して対応をテストしたり、セキュリティ意識を数値化したりといった機能があります。
IPAでも企業・組織向けにセキュリティ教育で利用でき資料を配布しています。こうした教材を積極的に利用して、教育を続けていくと良いでしょう。

セキュリティ教育で社員の意識を変えるには、繰り返し講義を行ってセキュリティ対策の重要性を知ってもらうことが大切です。企業内の意識が高まれば、ヒューマンエラーやサイバー攻撃による情報漏洩は減っていくでしょう。

ＪＢＣＣはセキュリティに関するご相談も受け付けています。お気軽にご相談ください。