Digital Arts News Watch

新年度がスタートして約2ヶ月が経ちました。4月から新たに新入社員や中途社員を迎えた職場も多いと思います。この時期は、「i-FILTER」や「m-FILTER」などの弊社製品を従業員の情報セキュリティ教育に活用したいがどのような活用法があるかなど、多くのお問い合わせやご相談をいただいています。

さまざまなデバイスやWebサービスの普及で、以前は個人レベルでは難しかった多くの事が実現可能となった昨今、正規のアクセス権限を持った従業員が社内の情報を不正に持ち出す情報漏洩事件が多発するなど、企業の情報セキュリティを取り巻く環境は大変難しい状況になっています。

このような状況の中で企業が情報漏洩の発生するリスクを低減するためには、単に設備を整えるだけでなく、従業員の情報セキュリティのモラルを高める教育をすることが重要で、各セキュリティ組織も従業員のモラル教育の重要性を積極的に広報しています。特に新入社員や中途社員の入社時期は、これら教育を行うよい機会なので、社内の研修プログラムに「情報セキュリティのモラル教育」を盛り込むことをおすすめします。

情報セキュリティのモラル教育を行う前に注意すべきこと

技術・サービスの発展や進歩と、それに伴う法整備によって変化が起きるため、モラル教育に盛り込む必要がある内容は常に変化し続けます。このため、教育を行う人は常に新しい情報を吸収し、それらの情報を元に資料作成するとともに、教育を継続的に行う必要があります。さらに教育を行う人は情報セキュリティに対する正しい理解が必要です。

セキュリティに対する正しい理解とは

セキュリティに対する正しい理解とは、問題を正しく認識した上で、その問題に対してどのような対策をとり、従業員への説明を講じるかを把握していることを言います。

ある企業では、SNSの利用によって情報漏洩のリスクが高まるという問題を受け、その対策として『従業員のプライベートなSNS利用を禁止』、『従業員のSNS上でのやりとりのすべてを監視する』と通達したと伺いました。しかし、この企業ではスマートフォンなどの端末を会社から配布しておらず、個人利用のスマートフォンに対する管理は不可能です。

この件の対策例としては、不適切な投稿や画像、動画のアップロードがなぜしてはいけないことなのか、またどのようなリスクがあるのかなど、SNSの情報の公開範囲について従業員に理解させる必要があります。バカッターといった、若年層の利用がメディアなどに取り上げられ注目されていますが、中高年に関しても例外ではありません。Eメールなどと同じ感覚で自分の知り合いにのみ情報が伝わっているという間違った認識でサービスを利用されていることが多く、問題となるケースがあります。

具体的な例としては、ある企業の営業マンが業務時間中に居酒屋にいることをFacebookなどに投稿したことが、勤務先や取引先に知れ渡り、処分が行われるなどのケースもあったようです。

情報セキュリティのモラル教育を手助けするお薦め資料とコンテンツ

各セキュリティ組織は、従業員への情報セキュリティ教育を支援するためのコンテンツを提供しています。弊社の教育でも使用しているおすすめのサイトをご紹介しますので、研修などに活用いただければと思います。

まず、研修・教育資料の作成にはJPCERT コーディネーションセンター（JPCERT/CC）の情報セキュリティマニュアルがおすすめです。インシデントに関する被害や影響とその対策がわかりやすくまとめられており、研修用の資料作成にも直接利用することが可能な部分も多く提供されています。また、セキュリティクイズも合わせて掲載しており、楽しみながら学ぶことも可能です。

また、情報処理推進機構（IPA）は教育用プレゼン資料や動画を提供しています。10分ほどの動画は、内部不正による情報漏洩対策をドラマ仕立てで紹介しています。

最後に従業員のセキュリティに関する理解度をチェックできる、日本ネットワークセキュリティ協会（JNSA）が提供する「情報セキュリティ理解度チェック」をおすすめします。管理者が受講者１人ひとりの結果を知ることができ、管理画面から「各ユーザーの受講有無、受講回数と点数」や「自組織の分野別正解率」「分野別正解率のレーダーチャート」など、をわかりやすく確認することができるため、ぜひ利用してみてください。

次回は業務の中に潜む具体的なリスクをご紹介いたします。
＜製品開発担当：桑原＞

「i-FILTER」「m-FILTER」の詳細は製品紹介ページをご確認ください。