LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

サービス・製品 | 

セキュリティアカデミーがオススメする「効果的な一般社員向けセキュリティ教育の実施方法」

こんにちは。ラック セキュリティアカデミー大塚です。

セキュリティアカデミーでは、一般社員向けの情報リテラシー向上を目的とした研修から、セキュリティを本業とするセキュリティスペシャリスト育成まで「セキュリティ教育」に関する幅広い教育サービスを提供しています。

各研修は、現役のアナリスト、研究員、コンサルタントなどラック内の様々なサービスの「現場」で実績を積む総勢20人以上のセキュリティスペシャリスト社員が担当しています。普段、それぞれの現場で得られる圧倒的な知識、情報量を基にテキストだけでは伝えられない研修を行えるところがラックの強みです。また、知識習得にとどまらない体験型の訓練、演習形式に重点を置いたカリキュラムを用意しており、累計6万6,000名の方々が利用しています。

講師一覧

先日の大阪急性期・総合医療センターによる身代金要求型ウイルス「ランサムウェア」被害について、会見の様子を目にした方が多いかもしれません。2022年10月末にランサムウェア感染を確認し、電子カルテシステムが復旧せず、緊急以外の手術や外来診療の一時停止など、通常診療ができない状況が続いているとのこと。

(出典)警視庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」を基にラックが編集

警察庁から報告された国内のランサムウェアによる被害の報告件数を見ると、2020年下半期の21件から2021年上半期は61件、同下半期は85件と急激に増加していることがわかります(数字は『情報セキュリティ白書2022』より)。明日、自組織の事業やサービスが止まった時にどうするのか、そのために社員は組織的に対応ができるのか、リスクに対する意識を高め、備えを実践しようとする動きが大変重要となっています。

「やらなければ」、「受けなければ」がホンネのセキュリティ教育

今回はその中でも「組織に所属するすべての社員向け=一般社員向けのセキュリティ教育」についてのお話です。われわれセキュリティアカデミーがお客様からお受けするご相談はさまざまですが、社員教育に対して試行錯誤されている声から、セキュリティ教育への課題を感じています。

  • いままで内製で教育を実施していた。しかし、毎年同じような内容でマンネリ化している
  • 習得できたのか、定着したのか、有効性がわからない。受講状況の把握ができない
  • どうしても「やらされている感」があり、当事者意識の醸成が難しい
  • シフト勤務、遠隔地の社員もいて、一度に実施する集合型の研修は難しい

色々と事情はあるものの、教育担当の方は年に1回程度はセキュリティ教育を「やらなければならない」、そして社員はそれを業務の合間に「受けなければならない」というのが、セキュリティ教育担当者の本音だと感じます。

ニュースで報道される通信障害や、ATMの利用停止、交通機関の混乱などは「生活する上での自分」にとって影響があるため関心を集めますが、サイバー攻撃によって引き起こされる業務停止や情報漏洩などは、今ひとつ身近なものとしてイメージできないという方も多いのではないでしょうか。

「マルウェア感染に気を付けましょう!」と言っても、実際にどのように感染するのかは見たことがないので、実際の様子がイメージできなかったり、「不審なメールを受信したら窓口に報告をしましょう!」と言われても、不審なメールを受信したことがなかったりするでしょう。「不審とはなんぞや?」という疑問に立ち返ってしまうこともあるかもしれません。

最近の巧妙に作られたサイバー攻撃メールは、われわれのようなセキュリティを生業としている社員ですら気付くのが難しいことがあり、頭を悩ませています。セキュリティの重要性や基本的な対策を守るように社員に周知するだけでは、問題を解決できなくなっています。そのため、座学のセキュリティ研修が形骸化していき、セキュリティへの意識が薄れつつあるのが分かります。

アンケートからみるセキュリティ教育の課題

ここでアンケートからも課題を洗い出してみます。「調査レポート2022情報セキュリティ教育:セキュリティ研修/標的型メール訓練への取り組み状況に関するアンケート回答結果」の一部を紹介します。すべての内容についてはこちらからダウンロードしてご覧いただけます。

株式会社ラック 情報セキュリティ教育に関する調査レポートダウンロードページ

※ 本資料のデータは、当社主催セミナーにご参加頂いた方に、アンケート回答をお願いし、集計したものとなります。
(得られた回答数は446件。各設問に対して回答不明、対象外となる方は排除して集計)

※ 得られた回答結果から、企業規模別の比較を中心に、傾向を確認しております。

Q1.情報セキュリティ教育について、貴社が抱えていると感じる課題があればお聞かせください。

情報セキュリティ教育を行った後の効果測定が難しい 45%以上、セキュリティ教育を行うための人的リソースが不足している 35%以上 など

最初に注目するのは、「情報セキュリティ教育を行った後の効果測定が難しい(枠線:緑)」という回答が多かったことです。この回答を選択するということは何かしらのセキュリティ教育は実施済み、ということがわかります。「やらなければならないと感じているが、何からはじめてよいかわからない」という段階を経て、次の悩みが「効果測定」です。実施するための準備、コストをかけた結果がどうだったのか、効果によって組織が強くなっている実感を求められています。

その下にある枠線が水色の領域では「最新動向の把握が難しい」「情報の入手が難しい」「正確な情報発信が不安」という「内容」についての課題と、「人的リソースが不足している」「準備時間が取れない」など「準備」についての課題が見えてきました。人的リソースには、スキルとマンパワーの両面がありそうです。

この設問は、企業規模に分けた集計もしています。その結果によると、企業規模~99名の回答者はより多く「人的リソース不足」を回答しており、企業規模1,000名~の回答者は「効果測定」についての課題を多く回答しています。

Q2.貴社で、現在取り組まれているセキュリティ教育の手段について、当てはまるものを選択ください。

内製で集合研修や勉強会を実施している回答が50%近くと多く、外注はeラーニングでも20%程度にとどまる

セキュリティ教育の手段についても回答をもらっています。

セキュリティ教育は、内製での集合研修や勉強会を実施していると回答した方が多く、恐らく担当者の方が、企画から資料作成、集合研修、勉強会の段取り、社内周知、当日の運営(複数日、複数会場あれば開催日を分けて実施)、問い合わせ対応、実施後アンケートまで多くの時間を割いて実施していることがわかります。

また、内製のeラーニングという回答が少ない理由として、前述の研修準備に加え、別途導入や運営コストがかかるeラーニングを実施するための学習管理システム(Learning Management System)を、組織として導入しているとは限らないことも関係しそうです。

もともとeラーニングと集合研修、勉強会はそれぞれメリットとデメリットがあるため、社員の働き方に合う方法を選択できます。
設問の選択肢にあるeラーニングと集合研修、勉強会のメリットはそれぞれ以下の通りです。

eラーニングのメリット

  • いつでも、どこからでも、何度でも学習できる。途中で学習を止め、再開するなど、自分の都合に合わせて学習しやすい
  • 遠隔地、遠方の社員を集めたり、時間を拘束したりする必要がない。会場の準備なども不要
  • 理解度テスト実施や集計がしやすい

また、リモートワークが進んだこと、Netflix、Amazon Prime VideoなどOTT(Over The Top)サービスの浸透によるオンライン視聴への抵抗感が減ったこと、Udemyのようなオンライン学習サービスの登場、5分程度の短時間の学習スタイルであるマイクロラーニングのニーズが増えてきたといったことも背景にあります。マイクロラーニングとは、短時間で繰り返し学習した方が内容を定着しやすく、インプットとアウトプットの両面を短時間で手軽に学習できる学習方法のことです。

一方で、集合研修のメリットもあります。

集合研修のメリット

  • 決められた時間と場所に集合し受講することで、学習に集中できる
  • 講師へ直接質問をすることができ、その場で疑問を解決できる
  • 通常の業務上、関係性のない社員同士が集まることで、情報交換や意識合わせ等の機会になる

講師側の目線では、直接的に熱を伝えやすい、反応に合わせて補足やレベル感を合わせるなど、状況に適応させやすいという点も挙げられます。講師との質疑応答の時間を設けることで、その場で疑問を解決できることは、集合研修の大きなメリットです。

効果的なセキュリティ教育実施のポイント

以上を踏まえ、「セキュリティ教育」というキーワードで、さまざまな相談を受けるわれわれがオススメする教育実施方法のポイントは3つです。

1.考える、体験するような教育スタイルを盛り込む

標的型攻撃メール訓練、テーマを設けたディスカッション形式のワークショップ、疑似的なインシデント対応訓練等、体験型の教育を盛り込む。

2.確実に受講してもらい、教育効果を把握する

受講の有無がわかる受講管理や、合格ラインに達するまで終了できない理解度テストの導入などが有効。理解度テストに取り組み、間違えた箇所の解説を読むことでさらに深い学びとなる。

3.一般社員向けのセキュリティ教育は、継続と繰り返しが重要

年1回の教育では当事者意識の醸成が難しい。働き方や業務を考慮し、実現しやすい実施形態で、複数回実施する。複数回の教育には、気軽に受講しやすい短時間の学習コンテンツが有効。

標的型攻撃メール訓練は、年に数回、形式的なメール訓練を実施し、開封率を把握するだけでなく、誤って開封した社員の傾向分析、追加の訓練や適切なフォローアップを提供すると効果的です。そのため、ラックは従来のメール訓練に加えて、セキュリティ教育と連動した仕組みの採用を推奨します。

さいごに

単に組織のルールや知識を提供する教育だけではなく、社員自身が置かれている状況、セキュリティの脅威や日常に潜むリスクをイメージすることがスタートです。一般社員のセキュリティ教育をはじめ、どのような相談をしたらよいかわからないという場合なども、わたしたちセキュリティアカデミーに問い合わせをいただければ、適切にアドバイスできます。

また、その他セキュリティ全般に関して悩みがありましたら、お問い合わせフォームよりお気軽にご相談ください。皆さまが本業であるビジネスを安心・安全に推進していけるように、ラックはより良いサービスを継続的かつタイムリーに展開します。

「セキュリティ教育・訓練」に関するお問い合わせ

この記事は役に立ちましたか?

はい いいえ