業務のデジタル化が進む中で、ツール導入と合わせて必要とされているのが従業員のセキュリティリテラシーの向上です。外部からの攻撃によって企業が被害を被るだけでなく、内部の人間のヒューマンエラーやセキュリティに関する知識の不足によって、被害が深刻化するケースも珍しくありません。
今回はそんな従業員のセキュリティリテラシー向上が求められる背景や、どのようにリテラシーを高めれば良いのかについて、そのアプローチをご紹介します。
セキュリティリテラシーは、一言で言えば情報セキュリティに関する知識や経験のことです。世の中にはどのようなサイバー犯罪が、どんな対象に向けて危害を加えているのかや、いざサイバー攻撃を受けた時にどうすれば良いのか、サイバー攻撃を受けないために日頃からどのように振る舞えば良いのかといったノウハウを理解していることが求められます。
これまでのセキュリティ対策というものは、アンチウイルスソフトさえ導入しておけば問題ない程度のものでした。しかしサイバー攻撃が複雑化し、それによってもたらされる被害額も膨大になってきたことで、徹底したセキュリティ意識の向上が企業には求められています。
セキュリティ対策は、組織の情報システム担当者さえ理解していれば問題ないと思われてきましたが、今日では全社的なリテラシーの向上が求められています。セキュリティリテラシーの普及が必要とされるようになった背景としては、以下の3つの理由が挙げられます。
1つ目は、サイバー犯罪の増加です。2022年4月に発表された調査によると、日本国内におけるサイバー犯罪を経験した人の数は、2021年から2022年にかけて、およそ1,620万人に達するとされています
参考:https://news.mynavi.jp/techplus/article/20220330-2307476/
また、サイバー犯罪被害に伴う被害総額はおよそ320億円になると言われており、前年の被害額より100億円もの増加が見られました。金銭的な損失はもちろんですが、被害者が問題解決に費やしている時間も膨大なもので、平均して一人当たり2.5時間、総計で4,100万時間以上が犯罪被害からの回復に費やされており、生産面での損失も甚大になりつつあります。
個人情報の流出被害を懸念する声は多い一方で、実際に被害を被った際の対応や、有効な対策についての理解も進んでいないというアンケート結果もあり、日本全体のセキュリティリテラシー向上が求められています。
2つ目の理由は、デジタルトランスフォーメーション(DX)の浸透です。組織に最新のデジタルツールを導入し、業務改革を実行するDXは日本企業の喫緊の課題とされており、多くの企業が急速にデジタル化を進めています。
しかし一方ではDXの枠組みやツールこそ導入が進んだものの、それらを扱う従業員への教育が十分に進んでおらず、ツールを有効活用できなかったり、セキュリティ対策が甘かったりといった理由から、デジタル化の弊害に苦しむケースも挙げられます。
DXが普及したことで、社内のシステムが統合され効率よく運用できるようになった反面、安易なセキュリティ対策や従業員のリテラシーが不足している状態が続くと、重大なセキュリティリスクを抱えたまま業務を遂行することとなります。このような事態を改善する上で、従業員のセキュリティ意識を改善し、対策を強化する必要があるでしょう。
3つ目の理由は、働き方改革の推進です。リモートワークやワーケーションなど、新しい働き方が多くの企業で採用されることになり、従業員のワークライフバランスの追求が進む一方、セキュリティリスクが増大していることにも注意を向ける必要があります。
公共Wi-Fiの利用やスマホ・ラップトップの紛失、私用PCの利用などは、企業の情報セキュリティを脅かす重大なリスクを抱えています。セキュリティリテラシー教育を徹底し、こういった運用方法を見直すことで、外部の脅威から機密情報を守らなければなりません。
従業員のセキュリティリテラシーが向上することで、企業は複数のメリットを期待することができます。
1つ目のメリットは、セキュリティの強化です。リテラシー向上によって、リスクのある行動を従業員が主体的に判断し、回避が可能になります。
この結果、ヒューマンエラーによる情報流出やサイバー攻撃から被害を受けるリスクを最小限に抑えられます。
2つ目のメリットは、デジタル活用を推進できることです。セキュリティへの知見を深めることで、何がダメで、何が大丈夫なのかの判断基準を全社で共有することで、クリーンなデジタル活用を進められるようになります。
これまで情報セキュリティの観点から業務のデジタル化が進まなかった場合、リテラシーの向上で一連の取り組みを前進させることもできるでしょう。
最後に、従業員のセキュリティリテラシーを向上させるための具体的なアプローチについても確認しておきましょう。
1つ目は、社内のツール運用ルールの見直しです。私用PCの利用や公共Wi-Fiの利用、社用PCの持ち出しなど、情報流出につながる行為を制限することで、余計なリスクの回避につながります。
現場の運用体制を見直し、セキュリティリスクの小さな運用方針を具体的に定めましょう。
2つ目は、全社的なリテラシー向上に向けた研修の実施です。セキュリティリスクやその対策について理解を深められる研修を定期的に実施することで、社員のセキュリティに関する知見を最新の状態にアップデートすることが大切です。
情報システム部門の従業員だけでなく、営業や総務部門向けの研修も行い、広く情報セキュリティへの理解を深められるよう取り組むことが求められます。
3つ目は、定期的な注意喚起の実施です。最近頻発しているサイバー攻撃の手口や実際の被害事例を共有し、どんな脅威に備えるべきなのかを啓蒙する取り組みです。
サイバー攻撃の手口は日々複雑化しているため、完璧にその仕組みを理解するまではいかなくとも、どのような時に警戒すべきかを伝えることが必要です。
4つ目は、セキュリティに優れるITツールの導入です。不審なメッセージが外部から届く心配のない、社内コミュニケーションツールの運用や、高度に保護されたクラウドストレージを利用するなど、社内の課題に応じたサービスを利用すると良いでしょう。
本記事では、従業員のセキュリティリテラシーを高めるべき理由や、具体的なリテラシー向上に向けたアプローチについてご紹介しました。サイバー犯罪の増加やデジタルツールの活用機会の増加に伴い、セキュリティ意識を全社的に育む必要性が高まっています。
まずは社内で解消すべきセキュリティリスクを把握した上で、社員教育や対策ツールの導入を推進すると良いでしょう。