IT化が進み仕事でパソコンやタブレットを使うのが当たり前になっており、顧客情報、社内の重要事項、商品開発データなど、多くの情報が電子化されています。それらの情報がもし漏れたとしたら、企業として大惨事になりかねません。ここではセキュリティー研修の必要性と実施方法、注意点を解説します。
目次 [ 非表示 ]
- 企業が抱える課題
- 研修の対象者
- 研修の必要性
- 研修をおこなうタイミング
- 参加対象者別に見る研修のコンテンツ例
- 研修のラインナップ
- デジタル時代に必要なセキュリティリテラシー ~安心・安全を確保する基礎スキル~「株式会社アイ・ラーニング」
- セキュリティの最新技術を学べる情報セキュリティ研修「エヌ・ティ・ティ・アドバンステクノロジ株式会社」
- 基礎的スキルを短時間で効果的に習得できるセキュアEggsシリーズ「NRIセキュアテクノロジーズ株式会社」
- セキュリティ人材を教育するサイバーセキュリティトレーニング~オンライン研修~「株式会社アルファネット」
- フルカスタマイズのQT PRO セキュリティ研修「株式会社QTnet」
- ニーズに応じた多様な研修/教育メニュー「株式会社AGEST」
- 社員全員の情報セキュリティレベル底上げ研修「株式会社富士通ラーニングメディア」
- セキュリティ対策に必要な人材の育成を重視する研修プログラム「NECマネジメントパートナー」
- オリジナリティの強いセキュリティ研修「CTC教育サービス」
- 情報セキュリティ対策 リテラシー編 ~組織の一員としての必須知識~「株式会社トレノケート」
- 研修形式別メリット・デメリット
- 研修効果を上げるポイント
- 研修についてよくある質問
企業が抱える課題
ビジネスにインターネットが欠かせない今、セキュリティ対策はすべての企業にとって重要な問題です。ところが、以下のような課題があり、対策が不十分な企業が多いです。
- 自社のセキュリティ対策が遅れている
- セキュリティに詳しい人材がいない
- インシデント発生時の緊急対応が分からない
- 何から着手すれば良いのかわからない
- 高度化するサイバー攻撃の知識についていけない
- 社員のセキュリティ意識が低い
サイバー攻撃の手口は日に日に高度化するため、守る側も知識をアップデートしていかなければなりません。基礎知識から現場で使える実践的な知識まで幅広く網羅するためにも、セキュリティ研修を導入しましょう。
研修の対象者
セキュリティ研修は、内容やレベル別に分かれていることが多いです。主に、以下の2種類に分けることができます。
- システムを利用する一般の社員向け
- セキュリティのプロフェッショナルを目指す専門の社員向け
会社全体のセキュリティ意識を向上させる目的の場合、一般の社員向けのセキュリティ研修を導入しましょう。セキュリティの基本やインターネット、SNSの使い方などから学ぶことができます。
一般的な教養としてのセキュリティとは別に、セキュリティに特化した人材を育成したいなら、専門性の高い研修を導入しましょう。専門的な研修は分野によってさらに細かく細分化されるので、育成計画に合った研修を選ぶ必要があります。
研修の必要性
セキュリティー研修の目的は、意識の向上と情報を守ることにあります。特に最近ではテレワークの増加に伴い、セキュリティー強化は最重要事項になっています。
社員の意識向上のため
「今まで大丈夫だったからこれからも大丈夫だろう」
「これくらいしても問題ないだろう」
という、少しの気のゆるみが情報漏洩やトラブルを引き起こします。
- 個人情報が書かれているメールを誤送信してしまった
- 顧客情報が入ったノートパソコンを持ち出してしまった
- 企業情報が入ったデータをなくしてしまった
など、人的ミスで起こるトラブルを避けるためにも、一人ひとりの意識を高める必要があります。
誰もがミスをする可能性があることを理解し、自分事として捉える機会を作るのが目的です。
また、セキュリティーが甘いことでトラブルや問題が起こった時、どのような現実が待っているのかを知ることで、責任感を持つことができます。
外部の攻撃から守るため
ウィルスやフィッシング詐欺などから情報を守るためにもセキュリティー研修は必要です。
取引先だと思って開いたメールが詐欺だった、怪しいサイトに間違ってアクセスをしてしまったというような、うっかりミスを防ぐにも、正しい知識と情報が大切。
セキュリティーソフトを使っているから大丈夫!という過信が仇となることもありますので、二重三重にブロックしなければなりません。
研修をおこなうタイミング
研修は開催するタイミングがとても大切で、セキュリティー研修は3つのタイミングでおこなうと効果的です。
入社時
新卒者、中途採用者が入社した時期におこなうと、これからの仕事の中でしてはいけないことが明確になります。
最初にしっかりとルール説明をおこなう、これはセキュリティーに関しても同じです。
昇進時
一般社員と管理職では、セキュリティー管理における役割と責任が変わってきます。これまでと違った視点で管理ができるように、トラブルが起こった時の対処方法も含めて学ぶことが大切です。
部署異動時
部署が変われば扱う情報が変わります。新しい部署のやり方を覚えてもらうためにも、研修で今までと同じ部分、違う部分を明確にして、すぐに対応できるようになってもらう必要があります。
コンピューターの入れ替え時
定期的にコンピュータの入れ替えをおこなっている企業が多いと思いますが、そのタイミングで研修をおこなうのもお勧めです。
新しい機能が追加されたり、画面が変わっても戸惑わないように研修で確認をします。
参加対象者別に見る研修のコンテンツ例
セキュリティ研修にはさまざまなコンテンツが設けられており、それぞれ内容や対象者が大きく異なります。厳密にはプログラムごとに研修内容が異なりますが、大きく分類すると以下の表のようにまとめられます。
対象者 | カリキュラム | 概要 |
---|---|---|
システム利用者 |
セキュリティ入門 個人情報保護 セキュリティリテラシーなど |
・情報セキュリティ全般 ・一般業務における個人情報保護意識 |
システム管理者 | インターネットセキュリティ実習 サイバー攻撃対策など |
・セキュリティ保護のためのプログラミング/ネットワーク知識 ・セキュアなプログラミングやファイアウォールの設定 |
CSIRT (セキュリティ事故対応チーム) |
CSIRTに必要な設備・技術・実務の研修 |
・セキュリティインシデント事例・実習 ・ネットワーク監視 ・ログ解析・マルウェア解析などの実践 |
サイバーセキュリティ管理者 セキュリティエンジニア |
サイバーセキュリティ全体像の知識習得・サイバーセキュリティの技術研修 |
・マルウェア感染対策・復旧対策 ・演習や実習などのテクニカル研修 |
セキュリティ関連各種資格受験予定者 | 資格対策 | ・情報セキュリティマネジメント対策 |
また、それぞれの研修プログラムは技術レベルや必要要件に応じて細かく分類されているため、必要なレベルや目的にあった研修プログラムを受講する必要があります。
研修のラインナップ
最後に、オススメのセキュリティ研修を5件紹介します。それぞれの研修会社やプログラムの特徴が分かるように紹介しているので、自社の課題や状況と照らし合わせて参考にしていただけたら幸いです。
デジタル時代に必要なセキュリティリテラシー ~安心・安全を確保する基礎スキル~「株式会社アイ・ラーニング」
株式会社アイ・ラーニングのセキュリティリテラシー研修は、ユーザ部門や事業部門など、ITシステムを利用する立場の社員を対象に、基本的なセキュリティリテラシーを学ぶことを目的としたコースです。セキュリティの基礎知識を学び、日常業務の中でセキュリティを意識して情報を取り扱えるようになることを目指します。
内容は、主に以下のとおりです。
・SNS使用者全てに必要なセキュリティリテラシーの基礎
・情報を取り扱う企業人としてのセキュリティリテラシー
・企業の現場でも知っておきたい、ユーザ向けセキュリティ対策の概要
株式会社アイ・ラーニングは、研修コースの企画や開発、実施、コンサルティングなどのサービスを提供する企業です。セキュリティなどのITスキルに関する研修だけでなく、DX推進やビジネススキルの研修なども主催しています。(参照:株式会社アイ・ラーニング)
セキュリティの最新技術を学べる情報セキュリティ研修「エヌ・ティ・ティ・アドバンステクノロジ株式会社」
エヌ・ティ・ティ・アドバンステクノロジ株式会社では、入門編からコア人材育成まで、幅広いセキュリティ研修を提供しています。社員のセキュリティ意識向上といった基礎的な研修から、高度な技術研修まで、導入企業のニーズに合わせたカリキュラムをオーダーメイドで作成します。
講師を担当するのは、NTTグループでセキュリティ業務に携わってきた、現場のセキュリティ専門家です。経験豊富で高度な知識を持つ専門の技術者が、現場に即した研修を行います。
エヌ・ティ・ティ・アドバンステクノロジ株式会社は、システムインテグレーションやセキュリティ関連サービスなどの事業を営む企業です。システムの専門知識が豊富な企業なので、セキュリティ研修も安心して任せることができます。(参照:エヌ・ティ・ティ・アドバンステクノロジ株式会社)
基礎的スキルを短時間で効果的に習得できるセキュアEggsシリーズ「NRIセキュアテクノロジーズ株式会社」
NRIセキュアテクノロジーズ株式会社が提供する「セキュアEggsシリーズ」は、これから情報セキュリティを本格的に学ぶ方を対象とした、基礎的な内容を網羅した研修コース群です。将来的に情報セキュリティのエキスパートとして活躍するために必要な基礎的スキルを、短時間で効果的に習得できる内容です。
研修はPCを用いたハンズオン(演習)が中心のため、自分の手を動かして知識を定着させることができます。技術者にとって必要な知識と自分でやってみる経験を積むことで、着実な成長が期待できます。
NRIセキュアテクノロジーズ株式会社は、コンサルティングやセキュリティ診断といったサービスを提供する企業です。セキュリティに強みを持つ企業なので、セキュリティ研修も専門性の高い内容が期待できます。(参照:NRIセキュアテクノロジーズ株式会社)
セキュリティ人材を教育するサイバーセキュリティトレーニング~オンライン研修~「株式会社アルファネット」
株式会社アルファネットのサイバーセキュリティトレーニングは、セキュリティ人材を教育するためのトレーニングです。守る方法を理解するだけでなく、不正侵入やセキュリティ侵害などの攻め方を知ることにより、守り側に何が必要なのかを考えられる体験型の内容となっています。
研修では、レッドチーム(攻撃者視点)とブルーチーム(守りの視点)に分かれ、ゲーム形式でトレーニングを行います。レッドチームはサイバー攻撃者の思考や手口への理解を深め、ブルーチームは初動対応や状況把握のポイントを学びます。
株式会社アルファネットは、ITソリューションやネットワークソリューションなどのITサービスを中心に事業を営む企業です。セキュリティの専門知識や経験が豊富であり、セキュリティ研修の内容も実務に即しています。(参照:株式会社アルファネット)
フルカスタマイズのQT PRO セキュリティ研修「株式会社QTnet」
株式会社QTnetの「QT PRO セキュリティ研修サービス」は、導入企業の要望に合わせたフルカスタマイズのセキュリティ研修です。事前に打ち合わせを行い、業種別や役職別、目的別など、希望に合わせた研修を行います。
研修の講師はセキュリティ業務を経験してきた専門家であり、最新の事例をもとにセキュリティ研修を行います。実際の現場に即した分かりやすい内容のプログラムが特徴です。
株式会社QTnetは、セキュリティのみならずネットワークやクラウドなど、ITに関する幅広いサービスを提供する企業です。セキュリティ分野では、セキュリティ診断やファイアウォールなどのサービスを提供しています。(参照:株式会社QTnet)
ニーズに応じた多様な研修/教育メニュー「株式会社AGEST」
株式会社AGESTでは、対象者や内容別に複数のセキュリティ研修を主催しています。例えば、以下のような研修です。
- 情報セキュリティ研修
- CSIRT担当者向けセキュリティ研修
- サイバー演習
- ペンテスター養成コース
- インシデントレスポンス
- フォレンジック
システムを利用する一般の従業者向けの研修から、セキュリティのプロフェッショナルを目指す人材向けの研修まで、幅広く網羅されています。
株式会社AGESTは、品質コンサルティング/テストソリューション事業、システムインテグレーション事業、サイバーセキュリティ事業などを営む企業です。セキュリティの知見が豊富な企業なので、研修では専門的かつ現場で役に立つ内容を学ぶことができます。(参照:株式会社AGEST)
社員全員の情報セキュリティレベル底上げ研修「株式会社富士通ラーニングメディア」
富士通ラーニングメディアの情報セキュリティ研修とは、情報セキュリティの脅威をふまえた社員全員の情報セキュリティ意識底上げを目的としたセキュリティ研修です。さらに、セキュリティ技術者の育成やセキュリティを理解したネットワーク構築などの必要性をふまえた、多様な研修プログラムが提供されています。
情報セキュリティ研修を提供している富士通ラーニングメディアは、富士通グループの一員として、社会における存在意義「パーパス」を重視した研修を実施しています。講習会・eラーニング・ライブ配信などさまざまな形式で、実習形式を盛り込んだ研修を実施中です。(参照:株式会社富士通ラーニングメディア)
セキュリティ対策に必要な人材の育成を重視する研修プログラム「NECマネジメントパートナー」
NEC研修プログラム研修は、セキュリティ対策に必要な人材の育成を目指す研修プログラムです。社内全体のネットワークについて、それぞれの部門やレベルに応じて必要な研修プログラムが提供されています。セキュリティ対策に必要な人材の定義や、それぞれの階層での学習ポイントについても定義されているため、どのような研修プログラムを組めばよいか分からず困っている方は、NECマネジメントパートナーに相談してみるとよいです。
NECマネジメントパートナーは、ビジネスの第一線で活躍するリーダーや技術者育成を支援することを掲げる研修会社です。各種ビジネス研修のほかに、資格対策コースが充実しているという特徴があります。(参照:NECマネジメントパートナー)
オリジナリティの強いセキュリティ研修「CTC教育サービス」
CTC教育サービスのセキュリティ研修では、セキュリティ対策の導入・強化に向けて、フェーズごとに必要な研修プログラムを設定しています。例えば、サイバーセキュリティ構築のための研修では、サイバー攻撃者の目線からセキュリティのぜい弱性について指摘をしたり、特定のベンダーに依存しないファイアウォールの構築を解説したりするなど、独自性の強いプログラムが人気です。
CTC教育サービスの最大の強みは、ネットワークやITに強い研修会社であることです。「DX人材育成」をキャッチコピーとして掲げていることからもわかるように、セキュリティ構築・ネットワークの運用・クラウドなど最新のインターネット技術に関連する研修プログラムを多数リリースしています。(参照:CTC教育サービス)
情報セキュリティ対策 リテラシー編 ~組織の一員としての必須知識~「株式会社トレノケート」
トレノケートの「情報セキュリティ対策 リテラシー編 ~組織の一員としての必須知識~」は、最新の情報セキュリティの事例やトレンドが学べる研修プログラムです。1日で効率よく必要な点が学べる研修プログラムをオンラインで受講できるため、新入社員や一般社員のセキュリティ意識向上に最適なプログラムです。
株式会社トレノケートは、「グローバルIT人材育成のリーディングカンパニー」として高く評価されています。世界14の国と地域で「人材×IT×グローバル」にて人材育成をリードしている企業です。東京・大阪・名古屋にそれぞれ集中して学習できる専用の研修会場を設けているほか、オンラインでの研修プログラムも充実しています。(参照:株式会社トレノケート)
研修形式別メリット・デメリット
セキュリティー研修は主に3つの形式で開催することができます。それぞれのメリットとデメリットを比べて、適切なものを選ぶようにします。
社内研修 (社内で社員が講師となっておこなう研修方法) |
外部講師 (外部から講師を招いたり、公開講座に参加する方法) |
eラーニング (インターネットを使った研修方法) |
|
---|---|---|---|
メリット |
・自社の特徴に合った内容が可能 ・日程調整が容易 ・部署ごとなど、全員が参加できる体制を作りやすい ・費用が抑えられる |
・専門家から最新の情報を得ることができる ・内容が豊富で必要なものを選べる ・公開講座では他社との交流ができる ・受講者に緊張感が出る |
・個人の都合に合わせて受講日程が決められる ・復習しやすい ・研修会場が不要 ・受講者の理解度に合わせて進められる |
デメリット |
・担当者の負担が大きい ・最新の知識が得られにくい ・受講者の緊張感が薄い |
・自社の特性にあった内容になりにくい ・費用がかかる ・全員参加が難しい |
・受講者のモチベーションと集中力が保ちにくい ・安定したインターネット環境が必要 ・その場で質問ができず、疑問が解決しにくい |
研修効果を上げるポイント
セキュリティ対策研修は、実施の方法によって効果が大きく変化します。セキュリティ対策の隙を作らないためには、研修効果を上げるためにポイントを理解しておきましょう。
全社員を対象に行い当事者意識を醸成する
多くの機器がネットワークに接続している近年では、情報漏えいやサイバー攻撃のリスクはいたるところに存在します。例えば、一般社員やアルバイトスタッフのプライベート利用のスマートフォンやフリーメールアカウントに対して、サイバー攻撃が仕掛けられるケースも珍しくありません。
従って、セキュリティ対策研修は全社員を対象に実施する必要があります。昨今では、セキュリティ対策の甘い箇所を狙って攻撃を仕掛ける手法がサイバー攻撃の主流でもあるため、むしろ一般社員や新入社員に対する研修は必須です。
また、一般社員や新入社員に対しては資料を手渡すのみの簡易な研修で済ませられることも少なくありませんが、リスクの大きさを考えれば、しっかりと研修プログラムを組む必要があります。
受講者が分かりやすい内容にする
研修プログラムは、受講者の階層にあわせて分かりやすい研修内容を設定しなくてはなりません。
例えば、社会人経験のない新入社員を対象とする研修プログラムに関しては、個人情報の漏えいがどのようなリスクにつながるのか?プライベート所有のスマートフォンがなぜ情報漏えいのリスクにつながるのか?など、身近なことからそもそものセキュリティ対策の必要性・重要性を説いていく姿勢が必要です。
あるいは、IT機器の操作を苦手とするシニア層への研修の場合は、複雑な横文字を使用しないことも要求されます。
情報セキュリティは非常に難しいテーマではあるものの、受講者にあわせて分かりやすい研修プログラムを設定しましょう。
定期的に開催する
情報セキュリティプログラムは、頻度や実施時期も重要です。その理由は、以下のとおりです。
- サイバー攻撃の手口やセキュリティ対策の方法は日々進化しており、最新の情報を学ばないと適切な対応が取れないことがある
- 人事異動や新入社員入社などのスタッフの入れ替えが絶えず起こるため、定期的に研修を実施することで常にセキュリティ対策の意識レベルを保つ
- 研修の実施から日数が経過すると、社員一人ひとりの危機管理意識が薄れていくため、定期的に意識を高める必要がある
セキュリティ管理者は、スタッフの階層にあわせて研修実施の時期や頻度を設定してください。
自社の特徴にあった内容と形式を学ぶ
社内で扱っている情報、管理方法にあった内容の研修をおこなうことが重要です。人気の内容だとしても、自社のやり方に沿っていないと実践できませんし、新しい機械やソフトの導入が必要になるなど、出費と手間ばかりが増えたという結果になりかねません。
また、起こり得る可能性があるトラブルを想定して、予防方法、対策方法を学ぶことも必要です。どのような状況、環境であっても個々がしっかりとセキュリティーの重要性と、新しい知識を持って対応できるようになることが大切です。
研修についてよくある質問
この章では、セキュリティ研修についてよく寄せられる質問とその回答をまとめています。よくある質問を参考にすることで、研修プログラムを設定する際の参考にしていただけたら幸いです。
今、最も注意しなくてはならないサイバー攻撃の手法は?
IPA(独立行政法人情報処理推進機構)が発表している「情報セキュリティ10大脅威 2021」によると、企業におけるセキュリティ被害のワースト3は以下のとおりです。
1位:ランサムウェア(身代金攻撃):ランサムウェアに感染したPCは、ロックされ操作不能になります。犯行グループは、ロックを解除する要件として金銭などを要求するという手口をとります。
2位:標準化攻撃:特定のスタッフの上司や取引先になりすまして、メールなどでアプローチをしてくる手口です。
3位:テレワーク対象者や在宅勤務者のネットワークを狙った攻撃:セキュリティの甘い個人のネットワークを狙ったサイバー攻撃が流行しています。
ただし、セキュリティ対策は隙を見せないようにあらゆる対策を講じる必要があります。件数の多いサイバー攻撃の対策を優先して重視することは重要ですが、そのほかのリスクについてもケアを怠らないようにしましょう。
セキュリティ研修はカスタマイズできますか?
一般的に個別研修であれば、情報のカスタマイズは可能な場合が多いです。セキュリティ対策の一般論を自社の取引先やネットワークに落とし込むことは重要なポイントなので、研修会社に相談すると良いです。
研修にPCの持参は必要?
セキュリティエンジニアや情報管理者向けのセミナーのなかには、PCの持参が必要な研修が少なくありません。あるいは、研修の内容にかかわらず、大半のプログラムがオンライン研修やeラーニングの形で提供されています。
このとき、PCの持ち出しやオンラインでの接続について懸念される方もみえますが、大半の研修会社では安全に研修が受講できるようにセキュリティレベルの高い通信手段を用いて通話や情報共有をしています。したがって、一般的にPC持ち込み・もしくはオンラインで安全に研修が受講できると考えて問題ありません。