情報セキュリティ教育でセキュリティ意識向上させたい（そのための教材作り）

体型が鏡餅かベイマックスに近い「ぎだじゅん」です。
ライフイズテックという会社でサービス開発部 インフラ/SREグループに所属しています。

年末年始はどのようにお過ごしでしたでしょうか？
私はひたすら家で飲み食いしていたら年が明けました。

自分は年末年始はずっとお雑煮でもOKなくらいお餅が大好きです。
実際に年末に「のし餅」1枚（2.5kg）を注文して、毎日のようにお雑煮を食べてました。

基本、汁物に炭水化物が入ったものはだいたい大好きです

お雑煮といっても、地域によっていろんなタイプのものがあって、お汁の種類や具の内容、お餅の形や調理（焼く、煮る）など違ってて、面白い食べ物ですよね。

日本全国お雑煮マップ | シェフごはん

全国のいろいろな雑煮：農林水産省

いろんな地方の人が集まってお雑煮の話をすると「やっぱりお出汁はカツオ節一択だよねぇ～」とか「具にいくらとか生もの入れるのは邪道でしょ」とか「具が菜っ葉だけってもっと工夫しろっ！」、「根菜入れすぎで、ほぼけんちん汁じゃんっ！」、「餡入りのお餅っておしるこかっ！」、「お湯みたいなすまし汁ならお湯飲んどけ！」とか、それぞれの出身地の文化をディスりながら、自分の地域のお雑煮が一番だと、だれも得をしないゴールの見えない言い合いを続けた経験ってありますよね。
（ここに書いてあるディスりはあくまで例で、私の意見ではありません）

地域や文化が違えば好みの味は違ってきますよね・・・

それぞれの地域のお雑煮の良さを知れば、もっと健全的なお話ができると思うけど、誰もが共通で好きになる理想のお雑煮を作るは難しいことですね。

そんな自分は「白だし」で具に鶏肉と白菜を入れて、角餅をトロトロに溶け出すくらい煮たお雑煮が大好きですが、白味噌仕立てのお雑煮なども食べてみたいし、なんなら赤味噌ベースで味噌煮込みうどん風にしたり、豚骨スープにお餅入れて家系風にしてもおいしいんじゃないかなとも考えたりします。

豚骨スープのお雑煮も美味しそうじゃないですか？

結局のところ、粘度のある濃い目のスープが好きなだけなんですけどね。
本題です。

情報セキュリティ教育やってます？

最近ではどこの企業でも、情報セキュリティに関する教育などを行われている企業が多いと思います。
プライバシーマークやISMS（情報セキュリティマネジメントシステム）などでも、従業員に対して情報セキュリティに関する教育を行い、みんなが情報を適切に管理できる能力を身に付けるようにするよう求めています

なお、プライバシーマークでは、個人情報保護に関する従業員への教育の実施が義務付けられています。

プライバシーマークやISMSがないとしても、従業員のセキュリティ意識を向上させて、業務の中でセキュリティインシデントを起こさないようにするために、情報セキュリティ教育は必要なものだと思います。

従業員のセキュリティ意識の向上を目指す

弊社でも従業員や役員のセキュリティ意識の向上を目的として、これまで以下のような内容を入社時（新入社員向け）および全社員に年に一度、情報セキュリティ教育を実施しています。

• 情報セキュリティに関する基礎知識

• 企業に潜むセキュリティ脅威について

• 会社での情報セキュリティの取り組みやルールの周知

毎年行う必要があるの？

サイバー攻撃は世界情勢や時事、技術の進化や変化によって日々変わっていて、新しい手法が増えてきたりしています。

また、コロナ以降はリモート業務を行っている企業も増えていますが、リモート業務を実現するうえでクラウドサービスを使ったやり取りなども増え、クラウドサービスの脆弱性やリモート通信を狙った攻撃も日々増えています。

仕事の仕方や環境が変われば、セキュリティリスクも変わる

IPA（独立行政法人 情報処理推進機構）が発表している情報セキュリティ10大脅威などを見ていると、ここ数年間でセキュリティ脅威の順位が変動していることがわかります。

情報セキュリティ10大脅威 2023 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

これらの状況を踏まえて、

• 他の企業では毎年どのようなセキュリティインシデントが多く起きていているか

• 自社の1年間を通して発生したインシデントを振り返る

• どのような対策が必要かを共有し、インシデントの発生防止に努める

という観点で、最低でも年1回行う必要があると思っています。

---

情報セキュリティ教育の教材どうしてる？

最近では情報セキュリティ教育で外部研修サービスやeラーニングサービスを活用するケースも多いと思います。
外部研修やeラーニングのサービスでは、企業にあわせたカリキュラムや内容を用意してくれるものもあれば、どの企業も共通の一般的な学習教材で勉強するものもあります。

プライバシーマーク制度の認定機関であるJIPDEC（一般財団法人日本情報経済社会推進協会）では、個人情報保護教育での利用に役立つ社内教育用参考資料なども公開しています。

その他のNEWS｜お役立ちツール（社内教育用参考資料）のご案内｜プライバシーマーク制度｜一般財団法人日本情報経済社会推進協会（JIPDEC）

参考情報｜制度案内 |プライバシーマーク制度｜一般財団法人日本情報経済社会推進協会（JIPDEC）

このような定型化した資料を活用して情報セキュリティ教育を実施する企業もあるとは思いますが、弊社では、日々変わるセキュリティ脅威にあわせて、以下の説明が必要と考えています。

• 世間で発生したインシデントから自社の事業や体制などでも発生しそうなものを事例に、身近で起こりうる脅威とどのような対策があるかを説明

• 自社で発生したインシデントに対して、発生した原因とどのような対策をすべきかを説明

これにより、セキュリティの脅威が身近に存在し、自身の業務でも発生しうることを感じてもらうことで、セキュリティ意識を高めたいという観点で、毎年自社で情報セキュリティの教材をGoogleスライドで作成しています。

前回の投稿では、この内容の教材を音声を使ったGoogleスライドで作成したお話も書いているので、よかったら見てください。

参考にするインシデント事例について

教材で紹介するインシデント事例では、その年に起きているセキュリティインシデントのニュースの中から、自社の業務でも発生しそうなものをピックアップして紹介しています。

これらのニュースは、IT系WebメディアやSNSなどからセキュリティインシデントに関するニュースを日々チェックし、事例として使えそうなものはブックマークしておくようにしています。

また、昨年サイバーセキュリティに特化したコミュニティのSlackのグループが発足しており、こちらでもセキュリティインシデントに関する情報が投稿されているので、参考にしています。

サイバーセキュリティに特化したコミュニティ “Cyber-sec+”（通称：Security Slack）をローンチ | お知らせ | 一般社団法人サイバーセキュリティ連盟

他にも前述で紹介したIPA（独立行政法人 情報処理推進機構）による情報セキュリティ10大脅威などを参考にしています。

昨年末に作成した教材では、2023年の情報セキュリティ10大脅威でも1位となっていたランサムウェアによる被害や、メール誤送信などの不注意による情報漏えい等の被害などをピックアップし、国内で発生したニュースを紐づけて発生原因や対策について説明をしました。

もう他人事ではないラインサムウェアによる攻撃

昨年は特に世間的にも外部からの脅威よりも内部での不正や不注意による情報漏えいが増えてきており、特に退職者による情報漏洩が急増していることからも、社内外問わずオンラインストレージなどにある情報に対して必要最低限のアクセスコントロールをすることや適切なユーザ管理を心がけること、情報の持ち出しの注意喚起なども行いました。

ヒューマンエラーによる内部からの情報漏えいも増えています

---

セキュリティと業務の利便性のバランス

情報セキュリティ教育の教材は、一昨年から自分が作成しています。
そのころはまだ自分が入社して間もなかったので、一般的な企業での情報セキュリティのルールをベースに説明し、ルールを守りましょうというような教材を作成しました。

しかし、情報セキュリティ教育の実施後のアンケートを見て、それぞれの所属チームの業務によってはルールに対して抵抗を感じるものになっていたことが見えてきました。

ルールはあった方がよいけど、
チーム毎に業務が違うといろいろ矛盾は発生するよね

その後、1年を通して情報システム部門のメンバーと共に、セキュリティに関する問い合わせ対応や、社内で発生した情報セキュリティのインシデントを大小問わずに連絡をしてもらう連絡フローを確立して運用してきました。

この運用で、各部署やチーム、ロールごとで抱えるセキュリティの課題や注意すべきところに違いがあることが見えてきて、作成したルールに対してそれぞれの業務の利便性とセキュリティの重要性のバランスをちゃんと考えなければ、業務に支障がでてしまうと感じました。

バランスを取るのは簡単なことではないけど・・・

ルールとは破られるものである？

一昨年に教材を作成していた頃は、何をすればいよいかのルールさえあれば、それに従い業務を遂行するだけでインシデントの発生を抑えるし、わかりやすいと思っていました。

しかし、部署によって異なる業務内容やロールに対して、すべてを網羅できる共通ルールを作ることは現実的に難しく、かといってあいまいなルールは混乱を招いたり矛盾が生じ、逆に業務やロールごとに細かなルールを決めて縛ると複雑になって従業員は疲弊していきます。

ルール優先で仕事をしたら壁にぶつかり業務が停止してしまったり、業務を優先してルールを無視して進めてしまうケースが起きてしまうこともあります。
そのルールがなぜ必要なのかが理解できていなければ、ルールを軽視されてしまうこともあると思います。

これがルールマジック！
ルールは、くつがえされるものである。
（某コント番組の某ネタより）

例えば、オンラインストレージなどで外部にファイルを共有する場合に、提供先に対してのみアクセス制限することをルールで決めても、中には「リンクを知っている全員に共有」で共有してしまうケースがあるかと思います。

共有するURLが複雑な文字列で文字数も多くてわかりにくいものなので、そのURLを知り得なければ他の人がアクセスされるリスクは少ないという考えで使ってしまうようなこともあるかと思いますが、以下のような形でURLが漏れて情報が漏洩してしまうリスクが考えられます。

• そのURLを不注意で関係ない人に案内してしまった

• マルウェア感染でブラウザのアクセス履歴などから共有URLが漏洩してしまった

• 共有URLの案内先側でURLを拡散されたり漏洩してしまった

その共有URL、知らないところでアクセスされているかもしれません・・・

ルール通りに共有URLに対して特定の人のみ参照可能なようにアクセス制限してあれば、万が一関係のない人にURLが知られても、情報が参照されることはありません。
このような起こりうるリスクをちゃんと知れば、どのようなケースでは「リンクを知っている全員に共有」は使ってはいけないかを考えることができると思います（思っています）。

セキュリティ意識があればルールがなくても自分で考える？

情報セキュリティ教育は従業員のみんなが情報を適切に管理できる能力を身に付けるようにすることが目的で、定めたルールを共有することではないです。

ルールをがっちがちに作って守らせることよりも、情報セキュリティが自分事であることと感じさせることがこの教育では重要で、それを感じさせるために以下のような説明することが重要と考えました。

1. 企業で従業員が守るべきモノに何があるのかを知る

2. 守るべきモノに対して潜む脅威を知る

3. この脅威が自分の業務の身近に潜んでいることを知る

このことから、今回は細かなルールを作ってがっつり縛るのではなく、それぞれがまず考えて行動することを意識してもらえるようにするような教材を作成しました。

• 従業員が守るべき情報を具体的に説明

• 業務でその情報を取り扱うときの以下について説明

  • どのような脅威やリスクがあるか

  • どのような注意をすればよいか

みんなが新しいことをしたり新しいものを利用する時に、該当するルールがなかったとしても、教材で説明したような情報を業務で取り扱う際に、なにを注意するべきかを意識して行動してくれるようになればと考えています。
そのうえで、従業員がどうすればいいかわからない場合には、一人で悩まず相談できる窓口を用意して、一緒に解決できるような体制を作ることも必要です。

って、理想的なことを長々と書きましたが、まだまだ試行錯誤しています。

---

情報セキュリティ教育実施後どう変わった？

ルールに関する説明が中心の一昨年の教材による情報セキュリティ教育完了後のアンケートでは以下の意見が多く見受けられました。

• このルールを全て守ると業務が難しくなる

• ルールが複雑すぎる（業務効率とのトレードオフ）

• 今の業務でこのルールでは矛盾がある

• 大事なルールなのはわかるが情報量が多くて頭に入ってこない

• 業務で発生し得る行動の中で、これだけは絶対にやらないで欲しい要点をまとめてもらえると意識して行動しやすい

ルールは重要であるということを理解している方は多かったのですが、たくさんのルールを頭に詰め込むのは難しいと感じる方や自身の業務でこのルールが矛盾してしまうという方が多かった印象です。

確かにルールはたくさんあるけど、そのルールによって守るべき情報は共通しているものが多いので、「従業員が守るべきものとは何か」と守るものに潜む「脅威やリスク」と「講じるべき対策」を重要度の高いものにポイントを絞ってまとめたほうがよいなと思いました。

そして、昨年と同様に情報セキュリティ教育完了後のアンケートを実施したところ、今回は以下のような声が増えました。

• わかりやすくまとまっている

• 押さえるべきポイントが網羅されている

• 資料の充実度が高い

• 情報量が多くて理解・記憶ができる自信がないので、小出しに身につけられると良い

内容を変更しただけでなく、教材に音声による説明をつけたことが功を奏している可能性もあるので一昨年と単純な比較はできませんが、業務に影響が出るというような意見がほとんどなくなったのは、よかったと思いました。

それでも情報量が多いという意見は継続してあるので、もう少し要点を絞ってわかりやすくすることは継続して必要そうです。
（このnoteを見ていただければわかるように、クドい文章を書きがちなので・・・）

セキュリティに関する問い合わせが多くなった

また、昨年の情報セキュリティ教育以降に、セキュリティに関する社内からの問い合わせが増えた印象がありました。

これまでも問い合わせはいくつかありましたが、特定の従業員からの問い合わせのみでした。しかし昨年末から「このような場合はセキュリティ的にどのようにすればよいか」などの問い合わせを、いろんな従業員からいただくようになりました。

これは、何か業務でアクションをしようとした時にセキュリティは大丈夫だろうかと頭の中で意識するようになったということでもあり、これまでよりも従業員のセキュリティ意識が向上したことを表す結果だと思っています。

セキュリティ意識が向上したことで問い合わせが増えた

もともと問い合わせが増えるとことは想定していたので、喜ばしいことではありますが、その分、問い合わせの対応のためのリソースが必要となるので、しばらくは一緒に解決しながらナレッジを貯めていき、ケース別の対策案として社内へ共有していけたらと考えています。

こんなこともやってみたい

一方的に意識向上させようと思っててもこちらの片思いになる場合もあるので、みんなにより自分事に感じてもらうには、以下のような疑似訓練なども有効で、うちでもこういうのやってみてもよいなと思ったりもしています。

本当に怖い障害訓練、犯人はfreeeの中にいる！？ - freee Developers Hub

このような感じで1年通して起きたインシデントや情勢などを踏まえて情報セキュリティ教育の内容を見直しながら、従業員のセキュリティ意識をさらに向上するための施策も実施していければと考えています。

---

最後に

最近「Security is everyone’s responsibility」ってスローガンをよく聞くようになりました。
企業の情報セキュリティは、専任のセキュリティ担当者だけがおこなうものではなく、役割に関係なく企業のすべての従業員はセキュリティがビジネスのあらゆる側面の不可欠な要素であることを認識する責任があり、それぞれで情報を保護する責任があるのです。

みんなにも責任があることをちゃんと伝えて、みんなで情報を守ることを意識してもらえるようにすることがとても重要です。

セキュリティは全員の責任です

ただ、従業員の情報セキュリティの意識が向上しても、失敗や間違いは何かしら起きるものでもあります。
情報セキュリティ教育の実施以外にも、問題が起きないようにする仕組みづくりや、問題が起きていないかの可視化や検知、問題が起きた時に素早く対応する体制は必要です。
そんな取り組みを一緒に考えてくれる人がもっといてくれたらうれしいなと毎日思いながら、今日もお仕事頑張ります。

---

まだまだやることがたくさんあってしんどいこともあるけど今の会社はとてもいい会社なので、興味のある方はこちらも是非見てみてください。

Life is Tech ! 採用情報

あと、気軽にご参加いただけるカジュアルなイベントもたまに実施していますので、興味のあるイベントがあれば、ぜひ参加してみてください。

Life is Tech！ライフイズテック