情報セキュリティ教育の方法とは?「KnowBe4」の特徴もご紹介
- セキュリティ
近年、テレワークが普及し、遠隔地からのネットワークを常時利用しながら業務やコミュニケーションを実施することは当たり前の世界となりました。そのような中、懸念が高まるのが、近年増えるウイルスやマルウエアによる被害やサイバー攻撃のリスク、管理の行き届かない場所での情報持ち出し・不正利用などのリスクです。こうした中、情報セキュリティに関する従業員の意識向上をさらに強化することは、企業や組織にとって重要度が増しています。
そこで今回は、企業における情報セキュリティ教育の重要性や方法、おすすめの教育手法をご紹介します。
情報セキュリティ教育の重要性
各企業では、独自の情報セキュリティポリシーを策定するのが一般的ですが、策定しただけで、社内に浸透させることはなかなかむずかしいものです。幹部も含め、全従業員が、主体的に情報セキュリティに注意し、対策をとる行動に移せるように、情報セキュリティの教育を実施して、セキュリティポリシーの遵守を徹底しなければなりません。
実際に行動を促すためには、実践につながるしくみづくりや教育が必要になります。
情報セキュリティ教育の対象として注意したいのは、一部の層ではなく、すべての従業員が対象となることです。正社員だけでなく、派遣社員やアルバイト、管理職、役員、社長も含まれます。また、業務委託や協業が増える昨今、委託先企業や協業先企業に対する情報セキュリティへの注意も重要になってきています。
情報セキュリティ教育の方法とは
一般的に、情報セキュリティ教育は企業内でどのように行われているのでしょうか。主に次の方法があります。
●社内研修
講義形式が主流であり、自社内でオリジナルの研修内容を企画できます。資料や会場を自社内の担当者が手配します。
●外部セミナー
外部セミナーは、従業員がどこか他の場所に赴き、研修を受ける方式です。外部の情報セキュリティに関する専門家が講師となり、専門的かつ最新のセキュリティリスクを学ぶことができます。
●e-ラーニング
e-ラーニングとは、パソコンなどのデバイスを用いて、主にインターネットを利用した学習形態のことです。学習システムを導入し、そのシステムを受講する形です。受講者は空いた時間に独習する形なので受講しやすい半面、適切な管理が求められます。
●課題図書とテスト
情報セキュリティに関する教本を決め、それを課題図書として読んでもらう方法です。その後、理解度を確かめるためのテストと組み合わせる方法が一般的です。
●自己点検チェックシート
自己点検チェックシートを配布し、「こういうセキュリティリスクのあるシーンではどういう行動をしているか?」などの項目をいくつか挙げ、正しい行動ができているかどうかを、従業員自らチェックを付けてもらいます。これにより、セキュリティポリシー遵守状況の確認が可能です。その結果に基づいて、次の研修計画を立てることもできます。
セキュリティ訓練サービス「KnowBe4」とは
情報セキュリティ教育の方法には、ご紹介したようにさまざまな手法がある中で、より効果的に実施する手法があります。それは「KnowBe4(ノウ・ビフォー)」というサービスです。
「KnowBe4」は、米国フロリダ州に本社を持つセキュリティ教育ソリューションベンダーであるKnowBe4によるセキュリティ意識向上トレーニングが行えるプラットフォームです。
ただ教育を行えるだけでなく、セキュリティに関する訓練を連動させ、自動化が可能とするところに特徴があります。
KnowBe4は1,300種類以上の教育コンテンツがあり、そのうち、日本語対応版は340種以上そろえております。
そして、メールをカスタマイズした模擬的なフィッシング攻撃など、サイバー攻撃被害の疑似体験を経験させるために、実際に攻撃を仕掛けるトレーニングを提供します。豊富なテンプレートとランディングページを活用した、本番さながらの攻撃の疑似体験が可能です。
カスタマイズができるので、自社で起きる可能性が高いリスクについて教育コンテンツを用意することができるのも特徴です。
そしてセキュリティリスクやふるまいについても、AIによる分析や詳細なレポーティングが提供されるため、個人、部署、組織レベルのリスクを可視化することができます。
知識をインプットするだけの研修やe-ラーニングと比較しても、リアルな訓練を伴うKnowBe4の教育手法は、現代に求められる情報セキュリティ教育に即したものといえます。
まとめ
情報セキュリティ教育が重要であることは以前からいわれていましたが、今後はさらに重要視されていくと考えられます。教育手法も刷新し、アップグレードしていく時期といえるのではないでしょうか。
エイチ・シー・ネットワークスでは、「KnowBe4」のご提供を行っております。セキュリティの実践的な訓練・教育をお考えの場合には、ぜひお気軽にご相談ください。
ネットワークの基本から課題解決事例までわかりやすくまとめています。会社や組織内のネットワークの導入や見通しを検討するときに必ずお読み頂きたい一冊です。