IPA提供の10個のツールを活用して企業が留意すべきセキュリティについて学ぶ連載です。今回は中小企業の日常の1コマをモチーフに、105項目のテーマで一般社員、管理者、経営者それぞれの立場から情報セキュリティについて学習できるソフトを紹介します。
マスメディアに取り上げられる情報セキュリティの脅威は、大企業や官公庁を狙った大規模なものが多く、大半の中小企業は「自分達には縁がない話」と考えがちです。特に企業規模が小さくなるほど、また、業種がIT系ではない企業になるほどにこの傾向が強くなります。
しかし、実際には企業の規模にかかわらず、自社や取引先についての情報、自社が持つ顧客情報などが流出して名簿屋に売られたり、人物情報を基に大手取引先が標的型攻撃に遭うという可能性があります。情報が流出することで自社の社会的信用が失墜し、企業活動に多大な支障をきたします。業種や事業者に置かれたコンピュータの台数は関係ありません。どんな業種、どんな規模の企業でも悪意を持った攻撃者の対象になり得ます。
それでは、どうやって情報セキュリティについて学習すればよいでしょうか。書籍を使った学習は良い方法ですが、専門書は難解で、社員全員に配布するには高価です。読書のためのまとまった時間もなかなか確保できません。
情報処理推進機構(IPA)は、こうした中小企業を対象とする情報セキュリティの学習ソフトを開発し、無償で配布しています。今回はこの学習ソフトをご紹介していきます。
IPAが提供する情報セキュリティ学習ソフトでは、対象となる企業をまず大きく2つに分類します。これは業態によって学習すべきポイントが若干異なるからです。
さらに(1)の建設業・製造業では「経営者」「管理者」「一般社員」という3つの職位、(2)の卸売業・小売業では「経営者」「一般社員」の2つの職位で教材が分かれています(図1)。
こうした細かい分類によって、自分とは関係のない部分で余分な時間をかけることなく、必要なセキュリティ知識をピンポイントで学習することができます。業種と職位で見ると5種、それぞれに対して経営者向けは15項目、その他職位向けは25項目ずつの総数105項目の学習内容が用意されています。
本連載の1回目でも同様の学習ツールをご紹介していますが、1回目のツールはSQLインジェクションやクロスサイトスクリプティングといったネットワーク経由での攻撃を主眼に、攻撃者の手口や対策方法を解説していましたが、今回のツールでは図1にあるように「保管について」「廃棄について」「事務所について」などの、ごくごく日常的な業務内容や、コンピュータやネットワークとは関係のない部分でのセキュリティ上の留意点を中心に解説しています。
実際に学習ソフトの内容を見てみましょう。なお、実行にはOSとしてMicrosoft Windows XP SP3以降またはMicrosoft Windows Vista SP2以降が必要です。Mac OSなどの上では動作しません。またMicrosoft .NET Framework Ver.2.0 SP2以降とAdobe Flash Player 9以降が必要です。環境によっては別途インストールする必要があります。
この学習ソフトでは音声による解説が出てきますので、音声を再生できる環境もあると、より理解が深まるかと思います。音声はボリューム調整ができます。ボリュームを0にしても説明は画面下にテキストで表示されるため、学習内容が損なわれるということはありません。
実際に起動してみましょう。ダウンロードページから、自分の職種、職位に合うものを選択してダウンロードします。ダウンロードはオンラインソフト配布サイトのベクター経由になります。1項目ずつを単独でダウンロードしてもいいのですが、25項目(経営者は15項目)を一括ダウンロードできますので、こちらの一括ダウンロードをおすすめしておきます。
ダウンロードしたソフトはzip形式で圧縮されています。解凍すると3つのフォルダと、学習ソフト本体のStudyTools.Player.exe(.exeの部分はWindowsの設定によっては表示されません)が出てきます。(図2)
インストールやセットアップといった作業は必要ありません。StudyTools.Player.exeをダブルクリックして実行してください(図3)。メイン画面では学習者(これからこのソフトを使う人)の情報を入力するボタンと、学習を開始する2つのボタンがあります。
「学習開始」ボタンを押すと、学習テーマの一覧と、どこまで学習を進めているのかといった情報が表示されます。項目を選択して画面左下の「学習開始」ボタンを押すとプレイヤーが開いて学習が始まります。
学習画面は音声解説付きのスライドになっています。「導入」―「事例」―「学習の意図」―「正しい対処法」という流れで、演者によって日常業務のよくあるシーンが再現されつつ進みます(図4)。
内容を少し見てみましょう。図4に出てきた「持ち出しについて」では、社員が職場で終わらなかった仕事をUSBメモリに保存して、自宅に持ち帰って作業します。翌日、出社した社員が自宅から持ってきたはずのUSBメモリを見つけられなくなったことで、紛失や盗難に遭ったのではという事態になり、社内データの持ち出しについて、一定のルールを決めようという流れで展開します。こういったごくありふれたケースを題材にすることで、情報セキュリティ意識の薄い社員も「ひょっとしたら自分もやるかもしれない」という危機感を持つことができます。
1項目の再生時間はおよそ5分です。25項目すべてを学習しても2時間強といったところでしょう。仕事の合間や交通機関での移動中でも学習を進めることができます。各項目の最後には確認テストが用意されています。確認テストをクリアすると学習メニューの一覧に「単元修了」と表示されます。
25項目を含む一括ダウンロードを解凍した場合でも、解凍後の全体サイズは50MBから70MB程度ですので、USBメモリなどに入れておいて、社員全員に配布するといったこともできます。
学習者を登録しておけば、すべての項目の修了後に名前入りで修了証を印刷できるようになります。書籍を巡回読書させるなどの手法と違い、管理者は修了証を提出させることで、社員の学習がどこまで進んでいるのかを確認できます。これを機会に、一度社内の情報セキュリティについて、再考察してみてはいかがでしょうか。
Copyright © ITmedia, Inc. All Rights Reserved.