プラクティス3-2　経営層やスタッフ部門等の役割に応じた、リテラシーにとどまらないセキュリティ教育実践

　従業員数900名規模で地域の訪問介護サービスを行っているE社は、人手不足が長年の課題であったが、2年前にそれまでPCの表計算ソフトで管理していたスタッフと予約の管理を簡易なクラウドアプリケーションに移行するとともに、管理の大半をベンダーに委ねることで自社の従業員の負担を減らすことができた。これらの取組を通じて、E社の社長は「ITのことはベンダーに任せておけばよい」と認識していた。

　そんな中、E社の社長は社長仲間に誘われて、地元の経済産業局と県警の共催で実施された経営層向けのサイバーセキュリティ研修noteに参加した。カリキュラムを通じて、社長は自社のアプリケーションが停止する原因が、ベンダーに委ねている部分だけでなく、自社の従業員が担当する様々な日常業務の中に潜んでいることに気づいた。これらのリスクが具体的なトラブルにつながることを防ぐためには、日常業務に携わる従業員がそれぞれの役割に応じた知識やスキルを習得する必要があると考え、研修の翌日に人事部長に対して、研修において説明を受けた「プラス・セキュリティ」教育の計画を立てるように指示した。

E社の実践のステップ

　E社の人事部長が実践したステップは下記3点である。
①役職員の業務内容に応じて把握すべき内容の抽出
②公表されている教材を活用した教育プログラムの作成、該当者への受講依頼
③受講者へのアンケートを通じた教育プログラムの改善

E社の実践内容

　社長から指示を受けた人事部長は、まず「プラス・セキュリティ」とは何かを理解することから着手した。サイバーセキュリティ経営ガイドラインの付録Fnoteによれば、「プラス・セキュリティ」は次のように定義されている。

“自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力を身につけること、あるいは身につけている状態”

この内容と社長からの指示を踏まえ、人事部長は「セキュリティを意識する」とはセキュリティを自分事として捉えることと理解する一方、自社とベンダーの役割分担を踏まえると「対策を実現」に関してはすべてを自身でこなすことを意味するものではないと考え、次表のような教育方針を立てた。なお、これらの教育は全社員対象のセキュリティリテラシー教育を受講済みであることを前提に実施するものである。

　実施方法の選定は次の考え方に基づいている。

• 経営層及び部署長については、対象人数が少ないことと、理解のみでなく責任ある対応が求められることから、ディスカッション主体の研修にするとともに、受講者が顧客や委託先の役を交代で担当するロールプレイを併用するなど楽しめる工夫も行っている。
• スタッフ部門及び事業部門（ケアマネージャー等）については、対象となる受講者が多いためセキュリティ教育ベンダーの教材を組み合わせてeラーニング講習を実施。ただしそのままでは自社の実際の体制との対応が理解しにくいため、確認テストの冒頭で自社での状況を補足した上で、E社の実情を踏まえた確認テストを実施する。

　このような形E社ではプラス・セキュリティ研修を開始したが、企画した意図の通りの効果が得られるかどうか不安を感じた人事部長は受講者へのアンケートを実施した。結果は大旨肯定的であり、「気づきが得られた」等の前向きの反応も多かった。一方で、「多忙な時期の受講は負担が大きい」との意見もあり、社長との相談の結果、受講者毎の繁忙期を避ける形で次年度以降の教育計画を作成することとなった。

参考情報

プラス・セキュリティ知識補充講座カリキュラム例

https://security-portal.nisc.go.jp/dx/pdf/plussecurity_curriculum.pdf
内閣官房サイバーセキュリティセンター（NISC）において、プラス・セキュリティ知識を補充できる人材育成プログラムの普及に向けて、①経営層及び②業務、製品・サービスのデジタル化を推進する部門のマネジメントを担う部課長級向けに、プログラム作成時の参考として作成されたカリキュラム例である。

サイバーセキュリティ経営ガイドライン付録F サイバーセキュリティ体制構築・人材確保の手引き

https://www.meti.go.jp/policy/netsecurity/mng_guide.html
経済産業省より、サイバーセキュリティ経営ガイドラインの指示2及び指示3について具体的な検討を行う参考として提供されている。「プラス・セキュリティ」に関するよくある誤解に関するコラム等は社内への啓発に有用。