悩み(4) 従業員に対してセキュリティ教育を実施しているが効果が感じられない
d社では全従業員を対象にセキュリティ意識を向上させるため、セキュリティ教育を定期的に実施しているが、効果を感じられない状況であった。
基本情報
d社の状況
- 従業員向けに定期的なセキュリティ教育を行っている。
- PC紛失等のセキュリティインシデントの件数は減少していない。
d社のプロフィール
| 業種 | 流通業 | |
|---|---|---|
| 規模 | 5,000人 | |
| 管理 体制 | CISOの有無 | 有(CIOと兼務) |
| 専任のセキュリティ部署 | 無 | |
| サイバーセキュリティ の主管部署 | IT部門 | |
セキュリティ担当者の問題・悩み
d社のCISOは全従業員を対象に下記のようなセキュリティ教育を実施している。
- E-learning(他社よりコンテンツ購入)
- 社内掲示板を通じた適宜の注意喚起(PC紛失やビジネスメール詐欺への注意等)
- 年2回の標的型攻撃メール訓練
教育の効果については、情報セキュリティを担当するコンプライアンス部門、サイバーセキュリティを担当するIT部門ともに一定程度認めているものの、PCの紛失等のセキュリティインシデントが無くならない状況に問題を感じていた。
取組(4) 特定の部署・役職等に向けたフォローアップの仕組みを企画し、試行する
解決に向けたアプローチ
フォローアップの流れ
そこでd社のCISOは、実施したセキュリティ教育の結果を分析し、部署ごとの理解度や苦手分野を特定した。
その上で特定の部署や役職、年齢層に対して追加的な教育を実施するフォローアップの仕組みを企画した。
【フォローアップの概要】
| 対象: | 特定の部署、役職、また年齢層 |
| 内容: | 独自作成(インターネットや書籍から関連するコンテンツを引用) |
| 試行: | セキュリティを担当するコンプライアンス部門、IT部門といった管理部門で試行し、内容の改善を図った後に全社展開 |
得られた知見
d社のCISOは、取組のポイントとして、試行プロセスの重要性を挙げた。追加的なセキュリティ教育の実施は現場にとっては負荷となるため、中途半端な施策では逆効果となるリスクがあると判断した。
また、フォローアップの効果として、SNSを通じた情報発信における注意事項の理解など、直接的に効果を感じられたものに加え、試行した管理部門のセキュリティ意識の向上が見られた点を効果として感じている。