世界は急速に情報共有を推し進め、その距離が非常に近くなってきています。日々やり取りされる重要データの侵害や不正使用に対して、今まで以上にリスクが高まってきています。多くの企業では、高度なファイアーウォール、多要素認証技術、クラウドアクセスセキュリティブローカー(CASB)、侵入検知システムなどの様々なセキュリティツールの導入と維持に多大な費用を費やしています。これらのセキュリティツールは少数の専任スタッフによって運用され、十分なセキュリティ計画が確保されているとみなされています。しかし、残念なことに、これらのセキュリティツールだけでは外部からのサイバー攻撃を防ぐことはできません。

高まるサイバー犯罪の脅威

高速なブロードバンド回線の普及、クラウド共有サービスの拡張、様々なインターネットテクノロジーが進化することで、サイバー犯罪は年々増加しています。これらをセキュリティツールだけで抑制することは現実的に難しくなってきています。

企業の54%が過去1年間にネットワークまたはデータのセキュリティの被害にあい、サイバー攻撃から回復するための平均コストは500万ドル(約6億円)と推定されています

データセキュリティ被害が企業に与える影響は甚大です。Facebook、Equifax、Yahooを考えてみてください。過去3年間にシステムがデータ被害にあったとき、これら3社は甚大なダメージを受けました。顧客の個人情報を危険に晒しただけでなく、復旧のために数億円を費やし、企業としてのブランドイメージが著しく低下しました。

サイバー犯罪とデータ被害の増加は、高度なセキュリティツールを導入するだけでは、企業の情報資産を安全に守ることができないということを教えてくれています。セキュリティを向上させるためには社内にいる従業員のリテラシーを向上させる必要がありますが、そのためにはセキュリティについての適切なトレーニングを実施しなければなりません。セキュリティ問題はIT部門にとどまらず、社内の様々なシステムを利用する全従業員が責任を負っているのです。

より効果的なITセキュリティのための従業員のトレーニング

ビジネスの専門家がIT部門/情報システム部門の最優先課題を尋ねられると、間違いなくセキュリティを最重要課題として上げるでしょう。セキュリティツールの価値は年々上昇しており、2021年までに120兆円以上の規模になると予測されています。しかし皮肉なことに、これらのセキュリティツールを導入するだけではセキュリティの脅威に対抗することができないのです。

Shred-itが実施した2018年の調査によれば、上級管理職および中小企業のオーナーの40%以上が、従業員の過失または偶発的な人為的ミスがデータセキュリティ被害の根本原因であるとしています

人為的ミスはビジネス全体に大きな影響を与えますが、こればかりは避けることができません。私達の脳はある一定のパターンに固執する傾向がありますし、本能を無視して行動することも容易ではありません。例えば「SECURITY TRACKER 2018」によると、アメリカの労働者の25%は彼らが帰宅時にコンピューターのロックをかけずにデスクを離れることを認め、ほとんどのセキュリティ慣習に従っていません。またレポートでは消費者の96%がデータ被害の原因は従業員自身であるとみなしていることが示されています。

しかし、これは従業員にばかり責任があるわけではありません。彼らは適切なトレーニングを受けておらず、どのような手順が正当なのかを知らず、自社のセキュリティに対して自分の行動がどれほど重要なのかを理解させてもらっていないのです。企業としては質の高いトレーニングを提供し、セキュリティに対する意識を変革していく必要に迫られています。

企業のセキュリティトレーニングに学習管理システムを活用する

個人情報保護法やGDPR(ヨーロッパ一般データ保護規則)、CCPA(カリフォルニア州消費者プライバシー法)など、グローバルで様々なポリシーが制定され、企業はデータの使用方法や保管場所、そのデータの保護や運用方法などに細心の注意を払う義務を負っています。

会社のマネジメント層は、セキュリティ対策や個人情報保護対策としてどのようなことに取り組まなければいけないのか、どのような意識を持たないといけないのかを明確にし、社外での色々な事例を交えつつ従業員へのトレーニングと啓蒙活動を続けていくことが重要となってきます。学習管理システム(LMS)も活用しながら、従業員への情報伝達と、理解度測定なども合わせて行っていくと良いでしょう。

「セキュリティ専門家の68%が、従業員のスキル/知識不足がセキュリティ運用に影響を及ぼしていると言及」

ちょっとした不注意から甚大被害を起こさないように、セキュリティに関する様々な知識とスキルを従業員に提供するとともに、このトレーニング自体もクラウドLMSなどを活用して効率的に実施し監査していくことが求められます。以下に、学習管理システムを使用して柔軟なセキュリティトレーニング教材を開発し実施していく方法を列挙します。

  • 刻々と変化する各国ポリシーの最新情報を使用して、カスタマイズされたセキュリティトレーニング教材を作成する
  • 特に脆弱性が疑われリスクの高いシステム及びデータを取り扱う特定の従業員には、それに応じたトレーニングプログラムを設計する機密データの運用手順などを具体的に落とし込み、定期的にウェビナーなどで配信する
  • インタラクティブなシナリオを作成し動画コンテンツ化することで、従業員がより身近に脅威を感じられるようにする
  • クイズコンテンツでの理解度測定を行い、従業員に対するセキュリティ評価を実施する
  • 従業員のトレーニング状況をトレースし、コンプライアンスのための監査を有効にする
  • IT部門もしくは上長などが、定期的にトレーニング修了者へのフォローアップを行い、セキュリティに対する高い意識を維持させる

このような学習管理システムとしては、Office365のSharePoint Onlineと統合されているLMS365を使用することが最適です。サイバーセキュリティに関するリスクや、セキュリティツールの導入、運用手順などについて、従業員に対するトレーニングを簡単に実施することができます。

LMS365は普段使い慣れているSharePoint Onlineに完全に統合されているため、学習管理システム自体への習熟難易度が非常に低く、さらに従業員情報もOffice365のユーザー情報と統合されていることから、運用管理や学習コース配信などにかかるコストが最低限まで抑えられます。

セキュリティツールの導入が全く進んでいない企業は昨今では存在しないでしょう。しかし逆に、従業員へのセキュリティ教育が十分行われている企業もほとんどありません。どんなに高度なセキュリティツールもサイバー被害を防ぐことができないのは周知の事実です。何よりも重要なのは、従業員への意識付けと適正なスキル・知識のインプットです。