中小企業の情報セキュリティ対策の実態
最新の中小企業向け学習ツール
経済産業省がまとめた「平成19年情報処理実態調査」によると、中小企業の情報セキュリティ対策の実施比率は、すべての項目で大企業よりも低くなっている(図3-1)。国内企業の大多数を占める中小企業では、大企業と比較すると経営資源や人員などの制約が大きく、情報セキュリティ対策が不十分であるのがその理由だ。
しかし、中小企業といっても業態はさまざまで、求められる対策も多岐にわたる。そこで、IPAではそれぞれの中小企業の現状に即した情報セキュリティ対策を学習できるよう、ツール「5分できる!情報セキュリティポイント学習」を無償で公開した。これまでの市販のセキュリティ教育教材は、1時間以上の学習時間を必要としたり、専門家向けのものが多かったが、このツールは忙しい人でも5分程度で学習できるほか、内容を実務担当者向けに仕上げている。
ここでは、この中小企業向けの情報セキュリティ学習ツールについて説明する。「5分でできる!情報セキュリティポイント学習」は、先に述べた「5分でできる自社診断シート」の診断項目をもとに、物を作ることを主体とする企業(建設業、製造業など)と、物を売ることを主体とする企業(卸売業、小売業など)の2分野に分けて作成した。
さらに職位別の項目も用意し、合計105の学習テーマで構成している。業種ごとの対策はもちろん、職位によっても情報セキュリティ対策に求められるポイントが異なるからだ。例えば経営者向けなら、全体の方針決定や環境作り、教育・管理の実施計画など、企業体制を中心に構成。管理者や一般社員向けもそれぞれの役割に応じた項目を組み合わせている。
自社の状況に合わせた項目を選択できることや、日常の職場で起こり得る情報セキュリティ問題を写真で表現していることから、身近なツールとして活用していただけるのではないだろうか。
学習ツールを使うための簡単ステップ
「5分でできる!情報セキュリティポイント学習」は、IPAのWebページからダウンロードすることから始まり、わずかなステップで学習を進めることができる(図3-2a)。
ダウンロードの次は、修了証に記載する学習者情報を登録し、その後に学習テーマを再生する。学習テーマは、一覧の中から、興味のある部分やより必要性の高いものを任意で選択できる。確認テストが不正解だった項目は戻って再学習可能で、全学習テーマ修了時に「修了証」を発行・印刷して完了となる(図3-2b、図3-2c)。
さらに、このツール利用の効果を高めるため、次のような工夫も推奨している。
1. 毎日1テーマ5分ずつ学習する
学習テーマは、1テーマ5分で学習することが可能だ。毎日1テーマ5分ずつ、25日間 (約1カ月) かけて一通りの項目を学習することで、負担を軽減できる。
2. 社員教育に取り入れる
自社の情報セキュリティ研修や新人研修などにこのツールを取り入れてみよう。全社員の情報セキュリティ知識のレベルを合わせれば、より強固な体制を築くことができる。
3. 危険予知活動・改善活動に取り込む
チーム内の会議で毎回1テーマを取り上げ、置かれている環境をもとに、問題点・改善策などを話し合うことで、より現場の状況に沿った対策実施が可能になる。
4. 自社診断シートと組み合わせて利用する
学習テーマは「5分でできる自社診断シート」と連動した内容になっている。診断シートを使用し、自社の情報セキュリティ対策状況を定期点検すれば、教育の効果を計ることもできる。
本ツールを利用することで、普段のセキュリティ対策を見直すきっかけとし、セキュリティに関する事例を疑似体験しながら、正しい対処法を学んでいただきたい。
IPAでは、今後もさまざまな企業形態に合わせた学習コースを作成し、中小企業のセキュリティ対策向上を支援していく予定だ。大いに活用しセキュリティ意識の改善に努めていただくことを願っている。
次回は、行動科学の観点から、情報セキュリティのあり方を考える。ユーザーがどのような場面でどのような行動を起こすのかを把握するとともに、ユーザーの行動を想定したセキュリティ対策のあり方を探る。
【参考文献】
「2008年 国内における情報セキュリティ事象被害状況調査」(2009.5掲載)
「5分でできる自社診断シート」(2009.4掲載)
『情報セキュリティ白書2009』独立行政法人情報処理推進機構・出版社 株式会社毎日コミュニケーションズ(発行年:2009)
「平成19年情報処理実態調査」(経済産業省)(2008.7掲載)
「5分でできる!情報セキュリティポイント学習」(2009.10掲載)
--------------------------------------------------------------------------------------------------
※Think IT編集部注(2009.11.13):以下の部分を修正しました。
P1「セキュリティ・ホール」→「脆弱(ぜいじゃく)性」
P2「セキュリティ・ホール」→「セキュリティ対策の綻(ほころ)び」