テレワークを狙う攻撃が10大脅威に初ランクイン、急速に導入が広がるセキュリティ教育

はじめまして。
デジタルイノベーション事業部 事業戦略部の小尾（おび）です。

2020年の新型コロナウイルスの感染拡大により、テレワークが急速に浸透しました。
その影響からか、経済産業省が所管する独立行政法人情報処理推進機構（以下、IPA）が公開する「情報セキュリティ10大脅威 2021」では、「テレワーク等のニューノーマルな働き方を狙った攻撃」が初めて3位にランクインしました。

テレワーク中の従業員が社有PCで社内ネットワークを経由せずに外部の回線に接続し、SNSを利用してウイルスに感染、その後、当該従業員が出社した際に当該PCを社内ネットワークに接続し、社内ネットワークにウイルス感染が拡大してしまうなど、テレワークならではの事象の報告も増えています。システム上の対策だけではなく、従業員全体の情報リテラシーやモラルを向上させる必要性が高まっていることがうかがえます。

セキュリティリスクを低減すべく、ラックでは情報セキュリティの学習サービス「セキュリティアカデミーオンライン」を強化しています。インターネットを利用して、いつでも、どこでも、何度でも受講できるオンライン型の学習サービスです。ここでは、テレワークにおけるセキュリティリスクへの対応について、従業員教育サービスを提供するセキュリティアカデミーオンラインにおける経験や最近の取り組みから、打つべき施策を考えてみます。

テレワーク実施のメリットとデメリット

企業はテレワーク実施にあたり、メリットとデメリットの両方を認識しています。

テレワーク実施が大幅に進んだことにより、「通勤時間がかからないため、時間が有効活用できる」「育児・介護・病気療養など私用に合わせて働く時間が調整できるようになった」「通勤手当やオフィススペース、紙などのオフィスコスト削減ができた」など、働き方の選択肢が増えたことにより、多くのメリットがもたらされています。

一方で、組織のセキュリティ担当者からはデメリットに着目したお悩みの声も多く聞こえてきます。「テレワークの導入を急激に進めたけど、外部に情報を持ち出すことで情報漏えいしないか不安」「座学中心の講義でしょ？家で受講している人が本当にきちんと受けているかわからない」「削減できたコストで教育や研修に力を入れたいけど、オンラインだと基礎的なものばかりでテクニカルな内容はあまり期待できない」「働き方がそれぞれ違うから、まとまった時間を確保できない」などです。

ラックのセキュリティアカデミーオンラインの場合、こうしたお悩みを以下の方法で解決しています。

• スキルや役割に合わせて、基礎～応用まで幅広い講座ラインナップを用意
  一般社員教育からスペシャリスト育成まで、幅広い層への講座を用意することで、全社的なスキルアップ施策として実施できます。また、「テレワーク編」など情勢の変化に合わせて講座を随時追加するなど、柔軟なカリキュラムを実現しています。
• 集合研修と同様の実機演習で実践力をアップ
  講義での理論の学習に加え、クラウド上の演習環境で実際に手を動かしながら学習できるコースや、手元のPCで演習課題を解き進めるドリル形式のコースなどにより、実践力も身につけられます。また、受講状況を一括管理できるサービスも提供しており、組織の管理者を支援します。
• 個人のペースに合わせた学習が可能
  受講期間は全コース30日間と十分な長さを確保しています。スマートフォンやタブレットからも受講できるため、移動中やすきま時間も活用しながら、個人のペースでじっくり学べます。

各個人のスキルレベルに応じた内容であること、実践力も視野に入れていること、スマホで受講できるなどの利便性を確保していることなどは、従業員教育を実施する上で、欠かせない要素です。

具体的にどんな講座があるの？

セキュリティアカデミーオンラインでは、全部で30以上の講座を用意しています。幾つかの講座をピックアップして紹介します。いずれも申し込み直後からすぐに受講を始められます。

情報セキュリティ研修【テレワーク編】【GEN1020】

このコースでは、テレワーク環境におけるセキュリティリスクの認識を深め、そのリスク対策について分かりやすく解説しています。「テレワークを導入しているが、利用者への教育が不十分」という組織に最適です。アニメ形式の動画と理解度テストで構成されており、1テーマ5分程度のため、少しずつ取り組むことができます。

新入社員向け情報セキュリティ研修【GEN0060】

インターネット、SNS、電子メールなどなど。学生時代にあまりセキュリティを気にしていなかった人も、社会人になったら意識を変える必要があります。深刻なセキュリティ事故に直面しないために大切だからです。

本コースは、新入社員が知らずに起こしてしまいかねないセキュリティインシデントの事例を用いながら、脅威の中身と対策を説明します。4月に社会人生活をスタートしたばかりだった新入社員の皆さんですが、早くも4カ月が経過しようとしています。本格的に活躍をするための準備として、まずは必要な情報セキュリティ基礎知識をしっかり身につけましょう。

標的型攻撃メール対策講座【GEN0030】

標的型攻撃は、組織内の個人までを攻撃対象とし、心理的なスキも突いてきます。本コースでは、標的型攻撃の内容や対策について、事例を用いながら解説します。組織としての標的型攻撃対策に加え、個人が実施すべき対策も学びます。

インシデントレスポンス概論【OLL0030】

情報セキュリティ事故が発生した際の対応方法が学べる集合研修『情報セキュリティ事故対応1日コース 机上演習編』の座学部分をオンライン用にカスタマイズしたコースです。

組織で情報セキュリティ事故が発生した時に、組織の内外へのアプローチや原因の調査過程において、どのような行動をすべきかを体系的に学習できます。部門の責任者や情報セキュリティ担当者、システム運用に携わっている技術者を始め全てのビジネスパーソンにオススメのコースです。

直近の取り組みについて

セキュリティアカデミーオンラインに関わる直近の取り組みを紹介します。

新たなオンライン講座を追加

「IPA 情報セキュリティ10大脅威」に学ぶサイバーセキュリティ2021【GEN0110】

情報セキュリティ対策の推進には従業員一人ひとりの協力が欠かせません。しかし、規程を整備したとしても、従業員が対策の「必要性」や「重要性」を理解していなければ浸透しません。従業員の理解を促進するには、まず脅威を知ることが重要です。本コースでは、情報セキュリティの脅威に焦点をあて、情報セキュリティに係る意識向上を図ります。

「IPA 情報セキュリティ10大脅威 2021（組織編）」の1位～5位を題材にして、情報セキュリティ上の脅威とその対策を短時間で分かりやすく解説します。

ドコモgaccoとの取り組み紹介

ラック、ドコモgacco、情報漏えいやサイバー攻撃対策のオンライン教育で連携

2021年7月12日（月）より株式会社ドコモgaccoとオンライン教育に関する連携を開始しました。現在、全てのビジネスパーソンに向けた入門的な4講座を開講しており、その他の講座につきましては順次追加を予定しています。

さいごに

テレワークの普及をはじめとした環境変化により、企業におけるセキュリティ教育の重要性が高まっています。今回はラックが提供するセキュリティアカデミーオンラインの取り組みを中心に、対応方法を考えました。

セキュリティアカデミーオンラインではその他にも、集合型研修や標的型メール訓練、セキュリティ人材を目指すものなど豊富なメニューを用意しています。興味がありましたらご覧ください。

その他、セキュリティに関するお悩みがありましたら、お問合せフォームより気軽に相談ください。皆さまが本業であるビジネスを安心・安全に推進していけるように、ラックはより良いサービスを継続的かつタイムリーに展開します。