セキュリティ研修

セキュリティー研修の必要性

セキュリティー研修の目的は、意識の向上と情報を守ることにあります。特に最近ではテレワークの増加に伴い、セキュリティー強化は最重要事項になっています。

社員の意識向上のため

「今まで大丈夫だったからこれからも大丈夫だろう」
「これくらいしても問題ないだろう」

という、少しの気のゆるみが情報漏洩やトラブルを引き起こします。

・個人情報が書かれているメールを誤送信してしまった
・顧客情報が入ったノートパソコンを持ち出してしまった
・企業情報が入ったデータをなくしてしまった

など、人的ミスで起こるトラブルを避けるためにも、一人ひとりの意識を高める必要があります。

誰もがミスをする可能性があることを理解し、自分事として捉える機会を作るのが目的です。

また、セキュリティーが甘いことでトラブルや問題が起こった時、どのような現実が待っているのかを知ることで、責任感を持つことができます。

外部の攻撃から守るため

ウィルスやフィッシング詐欺などから情報を守るためにもセキュリティー研修は必要です。

取引先だと思って開いたメールが詐欺だった、怪しいサイトに間違ってアクセスをしてしまったというような、うっかりミスを防ぐにも、正しい知識と情報が大切。

セキュリティーソフトを使っているから大丈夫！という過信が仇となることもありますので、二重三重にブロックしなければなりません。

セキュリティー研修形式別メリット・デメリット

セキュリティー研修は主に3つの形式で開催することができます。それぞれのメリットとデメリットを比べて、適切なものを選ぶようにします。

セキュリティー研修をおこなうタイミング

研修は開催するタイミングがとても大切で、セキュリティー研修は3つのタイミングでおこなうと効果的です。

入社時

新卒者、中途採用者が入社した時期におこなうと、これからの仕事の中でしてはいけないことが明確になります。

最初にしっかりとルール説明をおこなう、これはセキュリティーに関しても同じです。

昇進時

一般社員と管理職では、セキュリティー管理における役割と責任が変わってきます。これまでと違った視点で管理ができるように、トラブルが起こった時の対処方法も含めて学ぶことが大切です。

部署異動時

部署が変われば扱う情報が変わります。新しい部署のやり方を覚えてもらうためにも、研修で今までと同じ部分、違う部分を明確にして、すぐに対応できるようになってもらう必要があります。

コンピューターの入れ替え時

定期的にコンピュータの入れ替えをおこなっている企業が多いと思いますが、そのタイミングで研修をおこなうのもお勧めです。

新しい機能が追加されたり、画面が変わっても戸惑わないように研修で確認をします。

参加対象者別に見るセキュリティ研修のコンテンツ例

セキュリティ研修にはさまざまなコンテンツが設けられており、それぞれ内容や対象者が大きく異なります。厳密にはプログラムごとに研修内容が異なりますが、大きく分類すると以下の表のようにまとめられます。
また、それぞれの研修プログラムは技術レベルや必要要件に応じて細かく分類されているため、必要なレベルや目的にあった研修プログラムを受講する必要があります。

研修効果を上げるポイント

セキュリティ対策研修は、実施の方法によって効果が大きく変化します。セキュリティ対策の隙を作らないためには、研修効果を上げるためにポイントを理解しておきましょう。

全社員を対象に行い当事者意識を醸成する

多くの機器がネットワークに接続している近年では、情報漏えいやサイバー攻撃のリスクはいたるところに存在します。例えば、一般社員やアルバイトスタッフのプライベート利用のスマートフォンやフリーメールアカウントに対して、サイバー攻撃が仕掛けられるケースも珍しくありません。

従って、セキュリティ対策研修は全社員を対象に実施する必要があります。昨今では、セキュリティ対策の甘い箇所を狙って攻撃を仕掛ける手法がサイバー攻撃の主流でもあるため、むしろ一般社員や新入社員に対する研修は必須です。

また、一般社員や新入社員に対しては資料を手渡すのみの簡易な研修で済ませられることも少なくありませんが、リスクの大きさを考えれば、しっかりと研修プログラムを組む必要があります。

受講者が分かりやすい内容にする

研修プログラムは、受講者の階層にあわせて分かりやすい研修内容を設定しなくてはなりません。

例えば、社会人経験のない新入社員を対象とする研修プログラムに関しては、個人情報の漏えいがどのようなリスクにつながるのか？プライベート所有のスマートフォンがなぜ情報漏えいのリスクにつながるのか？など、身近なことからそもそものセキュリティ対策の必要性・重要性を説いていく姿勢が必要です。

あるいは、IT機器の操作を苦手とするシニア層への研修の場合は、複雑な横文字を使用しないことも要求されます。

情報セキュリティは非常に難しいテーマではあるものの、受講者にあわせて分かりやすい研修プログラムを設定しましょう。

定期的に開催する

情報セキュリティプログラムは、頻度や実施時期も重要です。その理由は、以下のとおりです。

・サイバー攻撃の手口やセキュリティ対策の方法は日々進化しており、最新の情報を学ばないと適切な対応が取れないことがある
・人事異動や新入社員入社などのスタッフの入れ替えが絶えず起こるため、定期的に研修を実施することで常にセキュリティ対策の意識レベルを保つ
・研修の実施から日数が経過すると、社員一人ひとりの危機管理意識が薄れていくため、定期的に意識を高める必要がある

セキュリティ管理者は、スタッフの階層にあわせて研修実施の時期や頻度を設定してください。

自社の特徴にあった内容と形式を学ぶ

社内で扱っている情報、管理方法にあった内容の研修をおこなうことが重要です。人気の内容だとしても、自社のやり方に沿っていないと実践できませんし、新しい機械やソフトの導入が必要になるなど、出費と手間ばかりが増えたという結果になりかねません。

また、起こり得る可能性があるトラブルを想定して、予防方法、対策方法を学ぶことも必要です。どのような状況、環境であっても個々がしっかりとセキュリティーの重要性と、新しい知識を持って対応できるようになることが大切です。

セキュリティ研修についてよくある質問

この章では、セキュリティ研修についてよく寄せられる質問とその回答をまとめています。よくある質問を参考にすることで、研修プログラムを設定する際の参考にしていただけたら幸いです。

今、最も注意しなくてはならないサイバー攻撃の手法は？

IPA（独立行政法人情報処理推進機構）が発表している「情報セキュリティ10大脅威 2021」によると、企業におけるセキュリティ被害のワースト3は以下のとおりです。

1位：ランサムウェア（身代金攻撃）：ランサムウェアに感染したPCは、ロックされ操作不能になります。犯行グループは、ロックを解除する要件として金銭などを要求するという手口をとります。
2位：標準化攻撃：特定のスタッフの上司や取引先になりすまして、メールなどでアプローチをしてくる手口です。
3位：テレワーク対象者や在宅勤務者のネットワークを狙った攻撃：セキュリティの甘い個人のネットワークを狙ったサイバー攻撃が流行しています。

ただし、セキュリティ対策は隙を見せないようにあらゆる対策を講じる必要があります。件数の多いサイバー攻撃の対策を優先して重視することは重要ですが、そのほかのリスクについてもケアを怠らないようにしましょう。

セキュリティ研修はカスタマイズできますか？

一般的に個別研修であれば、情報のカスタマイズは可能な場合が多いです。セキュリティ対策の一般論を自社の取引先やネットワークに落とし込むことは重要なポイントなので､研修会社に相談すると良いです。

研修にPCの持参は必要？

セキュリティエンジニアや情報管理者向けのセミナーのなかには、PCの持参が必要な研修が少なくありません。あるいは、研修の内容にかかわらず、大半のプログラムがオンライン研修やeラーニングの形で提供されています。

このとき、PCの持ち出しやオンラインでの接続について懸念される方もみえますが、大半の研修会社では安全に研修が受講できるようにセキュリティレベルの高い通信手段を用いて通話や情報共有をしています。したがって、一般的にPC持ち込み・もしくはオンラインで安全に研修が受講できると考えて問題ないでしょう。

セキュリティ研修のラインナップ

最後に、オススメのセキュリティ研修を5件紹介します。それぞれの研修会社やプログラムの特徴が分かるように紹介しているので、自社の課題や状況と照らし合わせて参考にしていただけたら幸いです。

セキュリティ研修のラインナップ

最後に、オススメのセキュリティ研修を5件紹介します。それぞれの研修会社やプログラムの特徴が分かるように紹介しているので、自社の課題や状況と照らし合わせて参考にしていただけたら幸いです。

社員全員の情報セキュリティレベルの底上げに最適！株式会社富士通ラーニングメディアの情報セキュリティ研修

富士通ラーニングメディアの情報セキュリティ研修とは、情報セキュリティの脅威をふまえた社員全員の情報セキュリティ意識底上げを目的としたセキュリティ研修です。さらに、セキュリティ技術者の育成やセキュリティを理解したネットワーク構築などの必要性をふまえた、多様な研修プログラムが提供されています。

情報セキュリティ研修を提供している富士通ラーニングメディアは、富士通グループの一員として、社会における存在意義「パーパス」を重視した研修を実施しています。講習会・eラーニング・ライブ配信などさまざまな形式で、実習形式を盛り込んだ研修を実施中です。

セキュリティ対策に必要な人材の育成を重視するNECマネジメントパートナーの研修プログラム

NEC研修プログラム研修は、セキュリティ対策に必要な人材の育成を目指す研修プログラムです。社内全体のネットワークについて、それぞれの部門やレベルに応じて必要な研修プログラムが提供されています。セキュリティ対策に必要な人材の定義や、それぞれの階層での学習ポイントについても定義されているため、どのような研修プログラムを組めばよいか分からず困っている方は、NECマネジメントパートナーに相談してみるとよいでしょう。

NECマネジメントパートナーは、ビジネスの第一線で活躍するリーダーや技術者育成を支援することを掲げる研修会社です。各種ビジネス研修のほかに、資格対策コースが充実しているという特徴があります。

オリジナリティの強い研修コースを構築しているCTC教育サービスのセキュリティ研修

CTC教育サービスのセキュリティ研修では、セキュリティ対策の導入・強化に向けて、フェーズごとに必要な研修プログラムを設定しています。例えば、サイバーセキュリティ構築のための研修では、サイバー攻撃者の目線からセキュリティのぜい弱性について指摘をしたり、特定のベンダーに依存しないファイアウォールの構築を解説したりするなど、独自性の強いプログラムが人気です。

CTC教育サービスの最大の強みは、ネットワークやITに強い研修会社であることです。「DX人材育成」をキャッチコピーとして掲げていることからもわかるように、セキュリティ構築・ネットワークの運用・クラウドなど最新のインターネット技術に関連する研修プログラムを多数リリースしています。

トレノケートの情報セキュリティ対策 リテラシー編 ～組織の一員としての必須知識～

トレノケートの「情報セキュリティ対策 リテラシー編 ～組織の一員としての必須知識～」は、最新の情報セキュリティの事例やトレンドが学べる研修プログラムです。1日で効率よく必要な点が学べる研修プログラムをオンラインで受講できるため、新入社員や一般社員のセキュリティ意識向上に最適なプログラムです。

株式会社トレノケートは、「グローバルIT人材育成のリーディングカンパニー」として高く評価されています。世界14の国と地域で「人材×IT×グローバル」にて人材育成をリードしている企業です。東京・大阪・名古屋にそれぞれ集中して学習できる専用の研修会場を設けているほか、オンラインでの研修プログラムも充実しています。

「当事者意識」を重視したインソースのセキュリティ研修

インソースのセキュリティ研修では、前提意識の有無にかかわらず必要な知識を身につけられる研修プログラムが構築されています。情報セキュリティに関して、セキュリティ対策ソフトやファイアウォールの構築だけに頼らず、全社員一人ひとりの当事者意識が重要との観点で、研修プログラムを設定しています。また、事前のヒアリングや受講者の発表に基づいて、ヒヤリハット事例を研修に盛り込むことも可能です。

インソースは、通算受講者53万人を突破（2021年11月時点）した大手研修業者です。企業のニーズにあった多種多様な研修プログラムを提供しています。