従業員を「最後の砦」に位置付ける
これからのセキュリティー教育を実践

　昨今のセキュリティー事件を俯瞰すると、元派遣社員による情報持ち出し、従業員の管理不備によるランサムウエア攻撃の被害拡大、サポート詐欺がきっかけとなった個人情報の漏洩など、たった1人のインシデントによって大規模な被害が引き起こされるケースが後を絶たない。

　かつての社内業務は、そもそもIT化されていないプロセスも多かったため、システムに対する基本的な侵入防止やルール、運用による多層的な防御体制を構築することで、サイバー攻撃を防ぐことができた。しかし現在は状況が様変わりしている。ダークWebなどを通じた犯罪のビジネス化により、サイバー攻撃の高度化や分業化が進み、攻撃の精度が飛躍的に向上するとともにボリュームも増加している。結果、従来のような多層的なセキュリティー対策が意味をなさなくなってきているのだ。

　「これからのセキュリティー対策としては、従業員を『いかに守るのか』だけではなく、従業員を『最後の砦』として位置付ける必要があります。従業員の意識を高めて強靭化し、ますます高度化していく攻撃に対して適切に振る舞えるようにしてこそ、サイバー攻撃の被害を防ぐことができます」とLRMの藤居 朋之氏は説く。

　その基盤となるのが、従業員に対するセキュリティー教育である。しかし、多くの企業がセキュリティー教育で成果を得られていないのが実情だ。LRMが2024年に実施した「組織の情報セキュリティ教育に関する調査」でも、「セキュリティ教育に充てる時間が不足している」や「担当者やリソースが不足している」といった課題が挙げられている。

　また、「効果測定ができない」という課題を挙げる企業も多い。

　例えば「インシデント○件減少」「従業員満足度○％以上」「理解度確認テストのスコア平均○○点以上」といった指標を掲げるものの、これらはセキュリティー対策にほとんど寄与していない。「従業員のセキュリティー意識を高め、正しい行動を促すという、セキュリティー教育本来の目的を満たせているかを測る指標にはなりにくいのです」と藤居氏は指摘する。

　上記の課題を解決する効果的なセキュリティー教育を実践するため、藤居氏は「3W＋1H」の4つのステップに基づく設計手法を提唱している。

　ステップ1はWho（対象の定義）で、セキュリティー教育を実施する対象を洗い出す。「生社員」「派遣社員」「アルバイト」など、雇用形態で対象を区切っているケースが散見されるが、それだけではなく担当業務や管理している情報などによって詳細に定義することが重要だ。

　「例えば、採用業務に従事して大量の応募者の履歴書に接している人事担当者と、法人顧客と接している営業担当者では、実施すべきセキリティー教育が異なることが理解できるでしょう。まずこの対象の定義をしっかり行うことが、セキュリティー教育の有効化につながります」（藤居氏）

　ステップ2はWhat（獲得してほしい知識や考え方の整理）だ。「セキュリティーの基本を知ってほしい」といった漠然とした目標を掲げるのではなく、個人情報の取り扱い方、他社の情報漏洩事例、セキュリティーの観点で必要な法令、サイバー攻撃の種類やトレンドなど、より解像度を高めた知識や考え方を設定することが肝要だ。

　ステップ3はWhen（実施タイミングや頻度の決定）である。「通常の社員教育であれば年に1回でもよいかもしれませんが、セキュリティー教育では効果的な時期や対象者の負担にならない頻度を見極める必要があります」と藤居氏。時期や頻度を考慮することで、対象者の意欲の底上げを図り、研修受講に際して集中力を高めることができるという。

　ステップ4はHow（実施形態や手法の検討）。3つのステップで検討した内容を総合的に俯瞰し、適切な実施形態や手法を検討する。「講師による集合研修だけにこだわらず、eラーニングや標的型攻撃メール訓練、1on1による指導など、内容に応じた実施形態や手法を吟味します」と藤居氏は説明する。

　企業があるべきセキュリティー教育を実践していけるよう、LRMでは「セキュリオ」というソリューションを提供している。

　「セキュリオは、教育の実施から効果の確認、見直しまで、担当者の負担を最小限に抑えつつ簡単に実施できるクラウドサービスです。セキュリティー教育を自動化することで、従業員の意識を効率的に高め、その結果として自社の対策レベルを底上げします。導入実績は既に2000社を突破しており、現在も多くのお客様から引き合いをいただいています」（藤居氏）

　セキュリオが多くの企業から高く評価されている理由は、LRMが単なるツールベンダーではなく、セキュリティーコンサルティングを手掛けている点にある。30人以上のコンサルタントが在籍しており、その経験を踏まえ、4項目からなる実践的かつ複合的なセキュリティー教育の実現をサポートしている（図1）。 　1つ目は、標的型攻撃メール訓練。従業員に対して、自らもサイバー攻撃の標的となり得ることを認識させるものだ。実際の標的型攻撃メールを模した訓練を配信数の制限なく実施することができ、URLクリックや添付ファイル開封、フィッシングなど多様なパターンの攻撃に対応している。

　2つ目は、フィッシング報告。実際に攻撃を受けたシーンを想定した予行演習を行う。「不審なメールを受信した際の報告のハードルを下げることで、リスクの放置を防ぎます。また、報告されたメールの安全・危険性を自動判定することで、担当者と管理者の双方の負担を軽減します」と藤居氏は話す。

　3つ目はeラーニングだ。コンサルタントが監修した教材が100種類以上用意されている。内容は基礎的なものから専門的なものまで幅広く、しかも新たな教材が毎月追加されるため、セキュリティーに関する最新の知見を獲得できる。

　そして4つ目は、セキュリティアウェアネス（図2）。取り組みを継続し、習慣化していくために欠かせないものだ。「1回3分のミニテストを定期的に自動配信するなど、マイクロラーニングのアプローチに基づきセキュリティー知識の定着を図ります。また、集計結果から従業員のリテラシー状況を確認することも可能です」（藤居氏）。 　上記の4項目を通じたセキュリティー教育の実践を通じて、セキュリオは従業員のセキュリティーリテラシーを底上げし、一人ひとりの行動変容を促していくのである。