見出し画像

人的セキュリティホールをなくせ!情報セキュリティ研修サービス|DX推進に必要な情報セキュリティの基礎知識

矢印株式会社|ICTセカンドオピニオン

学んだことが現場業務で活かされない

これまでの「伝える」一辺倒の研修から、ワークショップ、セキュリティインシデント発生再現ビデオ、政府機関の統計情報、セルフチェックなどを通じて受講者同士でコミュニケーションしながら学習できるように構成されています。

研修効果

組織全体の情報セキュリティリテラシーを向上させることができます。具体的には、業務現場に近い臨場感で学習することにより、セキュリティ事故の予防と対応能力を高める効果があります。

研修の概要

情報セキュリティの取り巻く環境の認識から始まり、なぜ情報セキュリティが重要なのかを理解します。その上で、身近に起きている情報セキュリティ事故事例を学び、事故を起こさないための注意点を把握します。さらに、総務省ガイドラインによる職員が守るべき情報セキュリティを理解して、最後に、もしも事故が起きてしまった場合の対応方法についても学びます。

サービスの特徴

1.組織全体の平均リテラシーの向上に効果が出ています。
・対象者
企業の従業員、非常勤、臨時、委託事業者
初学者や全体復習、勤続年数が浅い方、過去にインシデントを発生させてしまった方

2.従来の文章による伝える研修ではなく、多くの映像ソースを用いて業務現場に近い臨場感で学ぶことができます。
・セキュリティ事故の再現動画像(独立行政法人 情報処理推進機構 IPA)
・オンラインWeb(国の研究機関のサイト等)
・各省庁や民間シンクタンクからの統計情報
・オンラインクイズ(参加者内の情報共有|要相談)

3.章ごとに理解度を確認するセルフチェックが用意されています。
・章ごとに学んだことを整理して記憶の定着化を狙います。

研修テキストの章立て

S01 情報セキュリティの取り巻く環境の認識
LIVE 今のセキュリティ事故の現状
中小企業におけるセキュリティ事故
自治体におけるセキュリティ事故

S02 情報セキュリティはなぜ重要なのか
情報セキュリティはなぜ必要なのか
情報資産の価値とその性質
情報資産の破棄

S03 身近に起きている情報セキュリティ事故事例
情報セキュリティ事故の傾向
自治体攻撃内容からみる代表的な攻撃例
意図的脅威|怠慢 不注意

S04 情報セキュリティ事故を起こさな為の注意点
人的セキュリティホール|脆弱性
ソフトウェアの脆弱性
アカウントとパスワード
電子メール 送信する時の注意点
ソーシャルエンジニアリング|心理的攻撃

S05 総務省ガイドラインによる職員が守る情報セキュリティとは
「2.0 情報資産の分類と管理」と照らし合わせ
「5.1 職員等の遵守事項」と照らし合わせ

S06 もしも事故が起きてしまったら 情報セキュリティインシデントの報告

研修資料で工夫しているポイント

研修で使用している資料は、原則「説明と補足」「統計データ」「セルフチェック」「ガイドラインの原文」と構成されています。

「説明と補足」

長い文章や複雑な表現の場合は新たな挿絵で理解をサポートするようにしています。

「統計データ」

出来るだけ最新の情報を掲載するように心掛けております。これら統計データを用いることで、より身近な出来事として再認識していただける様配慮しております。また、各省庁や研究機関の統計情報で説明を補完しています。

「セルフチェック」

各章の終わりには、セルフチェック用の頁を用意して知識の定着を図っています。

  • セルフチェックもカテゴリ分けして理解をサポート

  • ガイドライン原文(自治体向け)のページを表記。復習の際にも原文を見直しながら理解できるようにしています。

  • セルフチェックのページ、一目で見分けがつくように色とデザインで区別しています。

「オンラインWeb」

政府や研究機関が公開している情報セキュリティに関するリアルタイム情報を講義中に活用しています。今現在、この瞬間に起きているサイバー攻撃やインシデントを受講者全員で共有して臨場感あふれる授業の進行に努めております。

例)Atlas | 国立研究開発法人情報通信研究機構 サイバーセキュリティ研究室 (nicter.jp)

「ビデオ」

独立行政法人 情報処理推進機構 IPAの「映像で知る情報セキュリティ」の映像ライブラリーを随所で活用。知識の定着を狙うために目と耳から知識の補完をしています。

セキュリティ研修をつくった思い

情報漏えいの大半が人に起因しています。

未だに、うっかりミスや誤操作などの過失によって起こる情報漏えいが後を絶ちません。「内部犯罪・内部不正行為」「不正な情報持ち出し」「目的外使用」「紛失・置き忘れ」「管理ミス」「設定ミス」といった人に起因するインシデントが大半を占めているのが実情です。

「人的対策」は、優先すべき対策ではないでしょうか。
悪意のない過失を含めて、内部不正の根本原因は「想像力の欠如」と言えます。自分の行動が及ぼす影響を正しく想像できていれば、「人に起因するインシデント」の多くは回避できると考えています。

情報セキュリティ教育は、業務に関わるすべての人に対して行わなければなりません。

正社員、契約社員、派遣社員、パート社員はもちろん、社長や役員などの経営層、さらに見逃しがちな業務委託先の従業員も含めて、すべてがセキュリティ教育の対象となります。一様の教育ではなく、多種多様なタイプに応じた教育カリキュラムを設計する必要があるということです。

そして、入社から数年を経過して社会人生活に慣れはじめた若手社員や、業務を何でも一人でこなしてしまうベテラン社員に対しても、緩みかけた意識を引き締めるために、適切なタイミングで刺激を与えるための「繰り返し教育」が必要です。

現在のサイバー攻撃は、弱いところが狙われています。
それは 人的セキュリティホール なのです。

セキュリティ知識の平均点を上げてもセキュリティ事故リスクは低くなりません。全従業員、貴社とかかわりのあるすべての従業員のセキュリティ知識を一人も残さず 一定基準以上のセキュリティ知識 へ引き上げなければならないのです。

矢印株式会社は好きなことを仕事にしています。

企業紹介や事業内容、そして経営指標、統計オープンデータ、メンタルヘルス、マーケティングなどの経験も記事にしています。

--- yajirushi owned media ---

note Twitter Instagram
矢印株式会社のご説明
経営者の職務経歴 LinkedIn
矢印株式会社 Contact|お問い合わせ

この記事が気に入ったらサポートをしてみませんか?