従業員教育とリテラシー
セキュリティ教育の重要性
情報セキュリティ事故の原因の多くは人的要因です。どれだけ技術的な対策を施しても、従業員がフィッシングメールのリンクをクリックしたり、パスワードを付箋に書いて貼ったりしては意味がありません。ひとり情シスにとって、全社員のセキュリティリテラシー向上は最もコストパフォーマンスの高い対策のひとつです。
セキュリティ研修の実施方法
中小企業で現実的に実施できる研修方法を紹介します。
- 集合研修(年1回):全社員を対象に、最新の脅威動向と基本ルールを説明。30〜60分程度が適切
- eラーニング:IPAの無料教材やYouTube動画を活用。各自のペースで学習可能
- ミニ研修(月1回):朝礼やチームミーティングで5分間のセキュリティTipsを共有
- 入社時研修:新入社員・中途入社者に対してセキュリティポリシーの説明と同意取得
標的型メール訓練
実際にテスト用のフィッシングメールを従業員に送付し、対応力を測る訓練です。
- 経営者の承認を得て訓練計画を策定
- 訓練用のメールを作成(実在しそうな差出人、緊急性を煽る内容)
- 全社員に送信し、開封率・クリック率を測定
- 結果をフィードバックし、改善点を教育
- 定期的に繰り返して意識を定着させる
無料・安価なツール(例:Gophish等)を活用すれば、ひとり情シスでも実施可能です。重要なのは犯人探しをしないこと。あくまで組織全体のリテラシー向上が目的です。
SNSリスクと情報漏えい
従業員のSNS利用が原因の情報漏えいは増加傾向にあります。以下の点を周知しましょう。
- 業務内容や社内情報の投稿禁止
- オフィス内での写真撮影時にモニター画面や書類が映り込まないよう注意
- 位置情報付き投稿による行動パターンの漏えいリスク
- 退職者アカウントからの情報流出リスク
クリアデスク・クリアスクリーン
クリアデスクは離席時に机上の機密書類を片付けること、クリアスクリーンは離席時にPCをロック(Windows + L)することです。簡単なルールですが徹底されていない企業が多いのが実態です。
- 離席時のPC画面ロックを必須化(スクリーンセーバーのタイムアウトも設定)
- 機密書類はキャビネットに施錠保管
- シュレッダーの設置と使用の徹底
- 来客時にホワイトボードの内容を消去する習慣
教育は一度やって終わりではなく、継続的に繰り返すことで効果が出ます。最低でも年1回の全社研修と、月1回のリマインドを心がけましょう。
✅ 完了済み