サイバー事故を防ぐセキュリティ研修のコツとは？ 現場を巻き込むひと工夫が決め手！

1. セキュリティ対策を効果的に伝えるのは難しい

新年を迎えてからもうひと月が経とうとしている。のんびりしたお正月が遠い日のことのように慌ただしく毎日が過ぎていく。厳寒の季節は、熱いおでんやかき鍋で心をほくほくさせたい日々が続く。今年は基礎代謝を上げるストレッチ（朝起きたら、朝日を浴びながらストレッチをする）と、筋トレ（スクワット）をはじめた。基礎代謝を上げるとエネルギー消費量が増えるため、太りにくく痩せやすい体になると言われている。肥満を防いで、生活習慣病予防につなげたい。

今年はオリンピックイヤーだ。2021年には東京で開催されたが、新型コロナ感染対策による無観客開催だった。日本で開催されたのに、テレビ観戦がメインになってしまったことは残念だった。現場で見る醍醐味は、試合情報を知った時から既に始まっており、観戦後に仲間と食事に行ったり、SNSで情報発信したり、夜のスポーツニュースで結果を確認したりするまでの一連の行動にある。7月に開催されるパリ2024夏季オリンピックを現地で観てみたいが、いつもの通り地図アプリで旅行気分を味わい、テレビ観戦で楽しむことにしよう。

さて、今回は前職（NHK）情シスで行っていた社員向けの情報セキュリティ研修と効果的な周知の方法についてお話ししたい。セキュリティ研修に関しては、危険レベルを一方的に教え込むのではなく、正しい運用方法やルールが守れる環境についてどうしたらいいかを考えてもらえるようにしたい。周知に関してはタイミングが難しく、社員が目を通しているのか、内容を理解したのか、確かめるのが難しい。サイバー攻撃による事故のニュースを全社員向けに周知をすることがあるが、情シスの狙いとは違って、事故に対する危機感だけが伝わってしまうことがある。「他山の石」としての注意喚起の効果はあるものの、情シスとしては、ニュースの中から自社の業務形態を考慮し、対策に使えるポイントを周知しなければならない。

2. セキュリティ対策の重要性を社員に周知する方法

情シスはセキュリティポリシーを作成し、その内容を社員に認識してもらうため研修や周知活動を行っている。社内情報が正しく共有されない原因の一つに、「セキュリティ対策の重要性が社員に伝わっていない」ことが挙げられる。

社内情報は部内回覧や社内ポータルなどで共有されるが、社員の中には業務の忙しさから、内容を確認しないまま閲覧済みの印を押して次の社員に回したり、ポータル上で開封したまま読まずに放置したりする例も少なくない。その結果、内容が十分理解されないままとなっている。

社内ルールなど重要な情報の周知を行う場合、表題に【重要】を付けるなど、誰が見ても重要性を理解できるような工夫が必要だ。僕が情シスで実際に行っていたことは、情報システム系のトップ（役員）から直々のメッセージを出してもらい、「丁寧語」は使わない周知文にしていた。つまり周知文の構成で大切なことは、禁止事項や遵守事項などの重要なポイントはなるべく強調して伝えるということだ。さらに社内報として職場に配布するだけでなく、イントラネットに掲示して社員がいつでも確認できるようにすることが大切だ。

周知活動も研修の一環として考えるのなら、セキュリティ情報を確実に見てもらうための施策をしていかないといけない。情シスの手間は掛かるが、形式的にルールを定めただけでなく、抜き打ちでの現場チェックや、アンケート形式でのセルフチェックなどを実施する方法もよい。

セキュリティ対策の一環で、サイバー事故のニュースを伝え、危機感を覚え真剣に考えてもらったとしても長期的な対策として維持するのは困難である。効果的な対応としては、自社のヒヤリハット情報と組み合わせるなど、全社員にリアルなこととして感じてもらうことが効果的な周知方法になる。

3. 情シスがセキュリティ研修で期待したいこと

情報セキュリティ対策で「社外にデータを持ち出さない」というルールを設けたとしても、実際の職場環境がハードで仕事の持ち帰りを余儀なくされることもある。そのような現実に目をつぶり、ルールだけ策定しても机上の空論で終わってしまう。むしろ、社員からは「情シスは現場を知らない」と反発を受けることになりかねない。これを情シスだけの問題とせず、職場環境そのものを見直す必要がある。

僕も「現場のことをもっと知るべきだ！」といったコメントを聞きながら、システム上でできる運用方法について常に改善対策を考えていた。セキュリティを維持しながら、運用性を落とさない施策は、アクセルとブレーキを同時に踏むことと同じで、悩ましい。研修の際は、情シスが取り組んでいる改善策などを確認できる場としても使いたい。情シスとしては、ツールを使った自動的な管理・運用を検討していくことが大切だ。

4. セキュリティ研修を受ける対象者

対象者は、機密情報にアクセスする可能性がある全ての社員である。機密情報とは、会社の財務情報や人事情報、顧客リスト、技術系で言えば開発中の製品情報、製造工程情報、個人情報も含まれる。例えば取引先の氏名と電話番号も当然ながら個人情報なので、立派な機密情報である。

という訳で、「私は機密情報なんかまったく扱っていない」という社員は基本的にいないと思っている。さらに場合によっては契約社員・外部委託先の社員などに対しても該当している。管理職は、セキュリティ事故時の連絡先になるため、緊急時の対応と同等の対応をする必要がある。可能な限り管理職向けセキュリティ研修を実施すべきである。緊急時の体制が実際に機能するかはサイバー訓練を通して確認しておくことが大切である。経営者が、企業の情報資産に関して責任を持って保護していくためにも、情報セキュリティ研修を実施することは重要な対策の1つになる。

一方、情シス担当者は、外部セミナーを積極的に受講し、自分のスキルを磨いて国家資格に挑戦するのもいい。高い目標を掲げて頑張って欲しい。

5. セキュリティ研修を効果的に行うタイミング

研修を行う効果的なタイミングは、主に定期と不定期の２種類があり、定期的な研修は毎年全社員向けに実施するセキュリティ研修や、新卒向けセキュリティ研修などがある。定期研修の目的は、組織変更や人事異動などによりセキュリティ意識、セキュリティリテラシーを研修によって足並みをそろえて同じ意識を持たせることだ。

簡単に言うと、スキルの凸凹を平らにするということである。前職（NHK）では、毎年2月1日～3月18日にかけて政府が実施するサイバーセキュリティ月間を利用して全国にある放送局に出向き、セキュリティ研修を実施していた。ちなみに3月18日は「さいばーの日、３１８」サイバー対策の記念すべき日になる（笑）。この期間中に何らかのイベントを行っている企業は多いと聞いている。僕が実施した研修の特徴は、全社員に同時に行うのではなく部署ごとに行っていた。

例えば人事部の研修では、人事部のセキュリティ担当者に資料作成から手伝ってもらっていた。資料は、部署特有の専門用語や業務フローを取り入れ、セキュリティ解説を行った。身近な話題は、親近感がわき非常に効果的だった。ちょっとした工夫とひと手間を掛ければ、身につく研修に生まれ変わるのだ。

一方、定期研修を補うために、随時行われる不定期研修がある。

例）

・同業他社で事故が起きた時

・自社でヒヤリハット・事故が発生した時

・セキュリティポリシーが変更になった時

・新種のウイルスが発生した時

不定期研修は、意識的に行うと効果が出る。特に同業他社、関連企業で情報漏えいなどの事故が起きた時に開催すると、社員の関心が高くなり真剣に取り組んでもらえる。さらに「他山の石」として考えるため冷静に受講できる。不定期に行う研修には緊張感があり、開催は効果的である。

6. まとめ

情報セキュリティポリシーの策定や従業員研修の実施によって企業の情報セキュリティを強化したとしても、リスクや脅威が完全に消え去るわけではない。そのため、定期的な研修を行って継続的に意識を高めていくことが重要である。

今回、研修コンテンツの中身には触れなかったが、社員にはセキュリティに関する知識のレベル差があるため、初級、中級、上級とクラス分けをしてもいい。さらに意思決定者（経営者）向けの研修では「サイバーセキュリティ経営ガイドライン＊１」を参考にして具体的な対応方法を身につけてほしい。サイバーセキュリティ対策を経営業務の一つとして取り組んでもらいたい。

＊１経済産業省HPより

https://www.meti.go.jp/press/2022/03/20230324002/20230324002-1.pdf