セキュリティ教育には価値があるのか？（373号）

情報セキュリティ対策にはいろんな手法がありますが、そのうちの一つに情報セキュリティ教育があります。

ですが、教育というものは全般的に投資に応じた効果が見えにくい点があります。

これが情報セキュリティ対策の教育となるとなおさらです。
そもそも、情報セキュリティ対策への投資がどれだけ効果的か？と言われると明解な指標が提示しづらいのが実際のところです。
そのわかりにくい情報セキュリティ対策の教育ともなれば、推して知るべしです。

今回は、情報セキュリティ対策の中でも効果の見えにくい情報セキュリティ教育について筆者の考えをお話します。

情報セキュリティ対策のいろいろ

情報セキュリティ対策としてはいろんな方法があります。

一番わかりやすいのは機器やソフトウェアの導入です。

サイバー攻撃対策として各社からネットワーク機器や機器管理のソフトウェアが販売されています。
ネットワーク機器であればファイアウォールやUTM装置がそうですし、ソフトウェア（システム）としては検疫ネットワーク（未承認の機器を社内ネットワークに接続できない機構）などがあります。
こういった機器やソフトウェアは購入後の利活用に知識と労力が要りますので、プロの運用支援を利用しているケースも多いことでしょう。

万一の攻撃を受けた際のサイバー保険に加入している組織もあるでしょう。
損害保険の一種ですので、トラブル対応や復旧にかかる費用の軽減が期待できます。

また、社内の機器（パソコンなど）を適切に管理することも必要です。
WindowsUpdateの適用やマルウェア対策ソフト（ウイルス対策ソフト）の更新も必要です。

社内サーバのバックアップなど情報の保全もセキュリティ対策として必要なことです。

そして、セキュリティ教育ももちろん有効な情報セキュリティ対策と言えます。

情報セキュリティインシデントと対策の相関

情報セキュリティでのトラブル（事故／事件）のことをセキュリティインシデントと呼びます。このインシデントには大きく分けて、攻撃を受けるパターンと自ら情報漏洩をしてしまう（いわば自滅）パターンの二種類があります。

攻撃を受けるパターンにもいくつかのパターンがあります。
　1. ネットワーク機器などの脆弱性を狙った攻撃
　2. ビジネス詐欺メールを使ったマルウェア感染を狙った攻撃
　3. USBメモリなど可搬ストレージを用いた攻撃

自ら情報漏洩するパターンもいくつかに分けられます。
　1. メールの送付ミス（間違った宛先への送付）
　2. 情報の紛失（パソコン・USBメモリ・書類の盗難や置き忘れ）
　3. 悪意のない情報漏洩（社内情報の誤開示、不適切な開示設定）
　4. 悪意による情報漏洩（会社への不満、金銭の誘惑）

さて、この7つのトラブルについて、組織メンバが努力しても防げないものはどれでしょうか？

１つ目に挙げた「1. ネットワーク機器などの脆弱性を狙った攻撃」はいくらアップデートしていても、未知の脆弱性を狙った攻撃をされればどうにもなりません。
メンバが努力しても防げない攻撃と言えます。

ですが、これ以外のものは、どれもこれもメンバが意識を持ち、キチンとルールを決め、それを守るようにこころがければ、大半は防ぐことができます。

もうおわかりでしょうが、この大半の予防に効果的な対策こそが情報セキュリティ教育なのです。

情報セキュリティ事故の大半は内部起因

実は、情報セキュリティインシデント（事件／事故）は内部メンバの不注意や判断ミスが原因である場合が大半です。

少々以前の統計ですが、JSNAという組識が2017年の情報漏洩事件を集計したところ、漏洩原因のベスト5は次の通りでした。
　1. 誤繰作　　　 25.1%
　2. 紛失・置忘れ 21.8%
　3. 不正アクセス 17.4%
　4. 管理ミス　　 13.0%
　5. 不正持出し　 6.5%

これを見ていただいてもわかる通り、外部からの不正侵入にあたるのは3位の「不正アクセス」のみです。6位以降に入っている盗難、バグ、ウイルスなどを含めても26%未満に過ぎません。

ちなみに、1位の「誤繰作」はメールやFAXの送付先ミス、4位の管理ミスは情報の取扱いルール不備による紛失や行方不明、不正持出しはルール違反の情報持出し（悪意のないもの）を示しています。

これを見ると、人間系のミスが原因となっているインシデントの多さに驚きます。

いくら、最先端の機器を導入して外部からの攻撃に備え、サイバー保険に加入しても、全脅威のわずか1/4にしか対処できないのです。

残りの3/4は、内部メンバの不適切な行動（ルール違反、うっかりミス、悪意の漏洩など）によるものです。
逆に言えば、適切なルールの整備とその教育によって、この3/4の多くは防ぐことができるはずです。

最初に必要なことは組織内ルールの整備

「じゃあ全メンバを対象に教育をするぜ！」の前にすべきことがあります。
組織内でどの情報をどのように扱うかといったルール整備をしないことには全メンバに周知できるはずもありません。

つまり、最初に行うべきは組織内のルールとしてのセキュリティ規定を定めることです。

これも教科書的には守るべき情報の優先順位付けを行って、それぞれについてどんなポリシーで情報を守るかを定義していくのですが、このやり方だと規定が完成するまでに労力がかかりすぎて、息切れする可能性があります。

それでは本末転倒ですので、最初の第一歩は「さすがにコレはマズいよなぁ」と気になっている点から取り組みましょう。

ここでも「がんばりすぎない」ことは大切です。穴だらけの規定になっても構いません。
まずは粗っぽくても完成させことが重要です。
セキュリティに限らず、ルールなんてのは改定してナンボですものね。

社内規定だって数年に一回は法改正などで改訂せざるを得ません。
大企業では組織図や就業規則は毎年のように改訂していますものね。

セキュリティ教育は組織内で自己完結できる

さて、いろいろと悩みながら模索しながらも、セキュリティ規定が完成したものとします。
策定した方は不安だらけでしょうが第一歩としては全く問題ありません。

さて、次はいよいよ教育の準備です。

規定を決めた時に考えたこと、決めた理由といったことを皆と共有することがここでの教育です。

これって、一般的な教育のイメージとかなりズレていますよね。

一般的な教育といえば、有識者が「かくあるべき」と内容を体系立てて相手に伝えることを言います。
ですが、ここでのセキュリティ規定の教育では、各メンバに次のようなこと伝えることが目的となります。
　a. 世間ではどんな問題が起きているのか？
　b. どうすればその問題は避けられるか？
　c. だからこのルールが必要だと考えたのだ

また、現場からのフィードバックを受けるためにも、次のような問いかけも必要になります。
　d. 運用時に問題が起きたらどうすべきだと思うか？

具体例でいきましょう。

　1. メールの送付ミスの防止
　　a. 誤送付で大きなダメージ（お客様からの叱責、出入禁止など）が起きうる
　　b. 送付前のメールアドレス確認が必要だ。
　　c. 各人はアドレス帳に相手の社名や氏名を登録し、送信前に確認を行う。
　　d. それでも誤送信のリスクがあるが、良いアイデアはないか？

　2. （悪意でない）不正持出しの禁止
　　a. 仕事をこっそり持ち帰って、置き引きに合う他社事例がある。
　　b. 善意であっても、ルール違反はダメだ。
　　c. 持出し禁止ルールの周知、ルールを破った場合の厳罰化
　　d. それでも持ち帰るケースにはどう対応すべきだろうか？

　3. 管理ミスの防止
　　a. 管理者不在の紙書類が社外に流出した。
　　b. 全ての情報の管理元を明らかにする必要がある。
　　c. 社内情報の定期的な棚卸しを行う
　　d. 現場の負担が大きくなるが対応可能か？

どれもこれもルールとしてはありきたりの内容です。

それでも、ルールを決めた側がその経緯や主旨を伝える場は意外に少ないものです。
主旨が伝わっていないために誤解されるとすれば、もったいない話です。
こういった誤解を解く場としてセキュリティ教育は非常に有用です。

現場にとっても、ルールの意図を把握した上で、改善要望のフィードバックの場として活用できます。つまりルールへの納得と同時に意見表明ができる場として活用できます。

セキュリティ教育の場を、認識共有の場と考えると様々な利用方法がることに気付きます。上記のようにルールの目的と事例を伝えることで「そんな事情があったのか。テキトーにやってるとマズいな」と現場の共感も得られます。

やっていることはシンプルですが、その効果は抜群です。
しかも、外部講師なんかは要りませんから、非常にローコストです。

まとめ

情報セキュリティ教育というと、外部のプロによる講義形式やe-Learning（イーラーニング：パソコンでの動画やプレゼン資料を各自が学習する教育方式）が一般的です。
こういった教育も基本的な対策方法や知識を得るコースとしては有用です。

ですが、本当に必要なことは各メンバが自分で情報セキュリティ対策の意義を考え、自分で工夫し提案できるようになることです。

セキュリティ規定などのルールを決めることはもちろん重要ですが、それを決めた経緯を各メンバと共有し、討義を行うことはさらに重要です。

そして、各部署の知見を集めてセキュリティ規定にフィードバックすることができれば、世に二つとない、オリジナル規定が作り出せます。

筆者はこのような一連の流れを繰り返して、全メンバの意識を高めることこそが最大のセキュリティ対策だと考えています。

皆さんの組織でも機会を見つけて取り組んでいただければと思います。
今回は、セキュリティ教育についての、筆者の考えを述べました。

次回もお楽しみに。

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
筆者（ t.shimizu@egao-it.com ) にメールをお送りいただいてもOKです。