人は最大のセキュリティホールである

今回はセキュリティ教育に関してちょっと書いてみようかと思います。タイトルにもしましたが、皆さんの組織では社員のみなさんのセキュリティ教育はどうしていますでしょうか?

多くの組織では全従業員共通で講義形式、資料配布による自主学習、e-Learningによる学習などを行い、その後確認のためのテストをしている、というのが多いのではないかと思います。

さて、それで本当にいいんでしょうか?

セキュリティ教育の実態は?

そもそも、なぜセキュリティ教育をしているのでしょうか?

本来は、組織で業務を行っている従業員に対して、その業務において必要なセキュリティに関する知識・スキルを習得させるためのはずなのですが、現実としてはISMS認証やPマーク認定等を維持するために実施している、という組織もあってもおかしくはないと思います。

実際、セキュリティ教育していないと、ISMS認証やPマーク認定の取得や継続ができませんから。しかし、セキュリティ教育は非常に重要な活動であり、ここを「ちゃんとやる」ことが組織全体としてのセキュリティの維持には非常に重要だと思うのです。

なぜ、セキュリティ教育が必要になるのか?

もし、セキュリティ対策が全て自動化され、システムでのログインや本人確認も従業員が何もしなくても自動的に処理され、パッチの適用や、ウィルス対策も完全自動化されるなど、従業員がセキュリティ対策においてまったくアクションをとらなくて良くなれば、実は従業員に対するセキュリティ教育はほぼ必要ありません。

しかしながら、現実はそうではなく、いろんな場面において従業員がセキュリティ対策として行わなければいけないことは多くあります。ID/パスワードの入力、PCのパッチの適用、社外に書類やPCを持ち出した場合のセキュリティを意識した取り扱いなどなど。

こういった従業員による活動がきちんとなされないとセキュリティ事故につながってしまうため、そうした従業員に行ってもらいたいことを行ってもらえるようにするために、教育が必要になるわけです。

全従業員が同じ教育内容で良いのか?

では、教育内容は全従業員同じで良いのでしょうか?当然、共通の部分もあるとは思うのですが、実際には業務内容や役職によって内容が変わる可能性があります。

特に、役員、管理職、社内システム担当、人事系担当、総務の施設担当といった部署は情報セキュリティの「運営側」に回る可能性が高いのです。一般の従業員はあくまで「利用者側=管理される側」と考えてもよいのですが、「運営側」である場合利用者側とは違い業務の中にセキュリティ業務が発生します。

例えば、施設の入退出管理業務、社内システムにおけるアカウント管理業務、事故発生時の業務判断・会社判断などがあたります。そういった業務がきちんと行われないと、情報セキュリティの運営はうまくいかないわけなので、それらの業務を行う上で必要な背景・知識・手順を教育する必要があるわけです。各担当業務部門での業務教育・訓練の一環として行える部分はそれでよいのですが、管理職や役員に対しては、業務部門特有のものではないため注意する必要があります。

管理職・役員は業務として各種の「承認=許可」を行います。情報セキュリティに関することでいえば、新規アカウントの申請や権限の変更、書類・PC等の持ち出し許可等などがあります。また、事故が発生した場合の対応の最終判断を管理職・役員がしなければならないことが多くあります。したがって、管理職・役員に対してはそういった点についての教育が本来必要になります。

また、自社のセキュリティの構築・運営に関わる人、特に社内システムのセキュリティを担当する方などは、情報システムのセキュリティ対策をどうするか検討し、ベンダーやSIerへの依頼・提案内容を吟味し、システムに関する社内ルールを策定し、さらに経営層からの承認を得なければいけない、ということをやらなくてはいけないわけです。

こういった内容の知識・スキルについては、多くの場合社内で実施するのは不可能なので、弊社及び外部で提供されている教育コース(例えば、こんなコースとか…すいません、宣伝です)を受講することも必要かもしれません。

こう考えると、役職や業務内容に応じてセキュリティ教育も実施する必要があるはずなのです。

座学だけでいいの?

教育としては最初に書いたように講義形式や資料配布、e-Learningによる自習が多いと思うのですが、その形式では資料に書かれた「知識」を習得することになります。しかしながら、実際の業務ではその知識を「実行」しなければならず、適切に実行できなければ事故に繋がり得ます。したがって、本来は実行のための「訓練」も必要になります。実行が簡単なものであればよいのですが、そうでない場合には訓練をすることが必要になります。例えば、事故発生時の対応、各種の点検作業などは訓練をしたほうが良いとは思うのですが、なかなかできないのが現実かもしれません。

人は最大のセキュリティホールである

セキュリティ業界では「人は最大のセキュリティホールである」とよく言われています。システムは自動的に設定された通りに必ず動きますが、人が運用する(利用する)部分が残る場合、人が運用を適切にしないと結局その部分が原因で事故が起こったりするため、そう言われています。そのため、人がセキュリティホールにならないためには、教育が重要なはずなんですが、その割には教育がおざなりにされているのが現状なので、出来れば教育を見直して欲しいと思っています。

NANAROQ株式会社セキュリティ・エグゼクティブ・ディレクター
中島浩光