情報セキュリティ教育をおろそかにする弊害：セキュリティリスクの変化に強い企業文化（1/3 ページ）

さまざまな情報セキュリティ対策のアプローチの1つとなるセキュリティ教育。今回はその重要性と課題を洗い出し、課題を解決するための方策を考察していきます。

[小川真毅，ベライゾンビジネス]

セキュリティ教育は本当に必要か

　「セキュリティ教育は必要だと思いますか」――話を始める前に、まずこの問い掛けをしてみたいと思います。

　おそらく、ほとんどの読者は「必要だ」と回答されるでしょう。しかし、「なぜ必要か？」とさらに問われると、「当たり前」とか「なんとなく」など途端に歯切れが悪くなってしまいがちだと思います。

　ここで意見が分かれる背景には、「教育」という言葉に対する認識の違いがあります。教育と似た言葉に「研修」や「学習」、「訓練」などがありますが、これらは似て非なる言葉です。言葉の定義にはさまざま考え方がありますが、一般的なイメージとして研修や学習、訓練などは、特定の知識や技能の向上を目的としてある程度期間を定めて実施するものと受け取られるでしょう。これに対し、教育は特定の知識や技能を明確に定めるわけではなく、ある物事に関して正しい判断ができるための考え方や判断基準を浸透させていくためのもので、期間も一定期間に限定されることなく継続していくものと捉えられていると思われます。

　それでは、なぜこうした捉え方をしたときに教育が重要になるのでしょうか。その回答の一つは、「環境は変化し続ける」からだと考えられます。研修や学習、訓練などによって特定のセキュリティ知識や技能を高めたとしても、技術の進歩によって新たに必要な知識や技能が出現し、環境が変わることで不要になる技術も出てきます。グローバリゼーションに伴ってIT革新や法整備などの環境変化がさらに加速している昨今、ある一時期にのみ通用する知識や技能だけではなく、環境が変わっても普遍的な考え方や正しい判断基準をしっかりと根付かせられれば、誤った行動をしてしまう危険の多くを防げるでしょう。その上で常に環境の変化を意識し、現状の環境に適合した知識や技能を身に付けていくことが重要です。

　それでは、具体的に情報漏えいインシデントとその対策に関する生々しい現状を取り上げながら、情報セキュリティ教育の必要性について考察します。