セキュリティの教育効果を高めるポイントを探る：セキュリティリスクの変化に強い企業文化（1/2 ページ）

効果を把握するのが難しいといわれる情報セキュリティの教育。今回は実施効果をより良いものにしていくために必要な方法やポイントを紹介します。

[小川真毅，ベライゾンビジネス]

　前回は効果を把握するのが難しいといわれる情報セキュリティの教育の必要性について、教育を疎かにすることの問題点から教育の重要性を提起しました。今回は情報セキュリティ教育において効果を高めていくためのポイントを取り上げます。

セキュリティの意識レベルから把握する

　自組織でセキュリティ教育を一切実施していないという組織は恐らく皆無でしょう。その実施方法や実施内容となると千差万別になると思われます。組織によって事業内容も違えば規模も違う、海外拠点があれば従業員の文化的背景も全く違う点を考慮すれば、それぞれの組織に適したセキュリティ教育のあり方も異なるはずです。自社の環境に合わせて教育の方法を最適化すべきだということは免れられない事実なのです。しかし、そう言ってしまうと、いざ情報セキュリティ教育を始めてより良くしたいと思っても、参考になるものがなければなかなか効果的に進めることはできません。

　自組織へのセキュリティ教育を考えるときに把握すべきポイントが、セキュリティ意識レベルの自己診断をするというものです。現状として、自組織の従業員がセキュリティに対してどのような意識を持っているかを大まかにでも確認することで、どんなレベルから教育を実施していけば良いか方針を明確にできます。この段階は重要ですが、方針を決められれば良いので、細部まで診断する必要はありません。

　図1のように、組織全体の傾向として「セキュリティへの取り組み姿勢が“積極的か”“消極的か”」「セキュリティに関する判断基準が“明確に認識・浸透しているか”“まだあいまいな状態か”」という2つの側面で分類できるだけでも、まず何を教育しなければいけないかが見えてきます。診断のためにアンケートなどで材料を得る必要がありますが、「セキュリティへの取り組み姿勢として、部門内でセキュリティについて話し合っているか」「自組織のセキュリティポリシーに限らず日常業務の中でセキュリティ上注意している点があるか」などが積極性を確認するポイントになるでしょう。また、セキュリティに関する判断基準として、自組織の情報セキュリティポリシーに対する理解度や分かりやすさを確認するための設問が幾つかあれば十分だと思われます。

図1・セキュリティ意識レベルの簡易診断の例

　診断結果が判別できたら、それぞれの意識レベルに応じたセキュリティ教育方針を定め、それに従った教育内容を考えていけば良いことになります。図2はその一例です。

図2・意識レベルに応じたセキュリティ教育方針の例