インシデント抑制のために必要な、情報セキュリティ教育の在り方

　情報セキュリティの重要性が認知されてきたことで、ISMS（情報セキュリティマネジメントシステム）やPマーク（プライバシーマーク）といったセキュリティ認証を取得する企業が増加し、その維持のために定期的な教育が行われている。しかし、情報セキュリティとはインシデントの発生を抑止したり、発生時に被害を最小化したりするために行うものであり、認証を取得していない企業でも教育の重要性は変わらない。

　そして、教育の実践においては、基本的な情報セキュリティから特定の業務におけるリスクまで、従業員にどのような知識を身に付けさせるかを前提に、教育対象者と教育の頻度やタイミング、教材などを選定することが求められる。またテストやアンケートなどから効果測定を行い、次回以降の教育に反映する必要もある。

　本資料では、こうした情報セキュリティ教育の要点と、特に企業で用いられる4つの方法について、メリットとデメリットを含めて解説する。教育状況の可視化や各種認証取得の効率化、サイバー攻撃に対する実践訓練などが可能な教育用クラウドサービスも紹介しているので、併せて参考にしてほしい。