情報セキュリティ教育は役に立つ? 〜〜ルールを守る社員を作るより,守られるルールを作る! | ScanNetSecurity
2026.01.14(水)

情報セキュリティ教育は役に立つ? 〜〜ルールを守る社員を作るより,守られるルールを作る!

 情報セキュリティ教育や啓蒙活動を行い、場合によっては就業規則等に罰則を設ける必要があるというのは、企業のセキュリティ体制を維持していく上で、今更ながらといった感じがする、基本中の基本事項である。

特集 特集
36 views
facebookLINE
 情報セキュリティ教育や啓蒙活動を行い、場合によっては就業規則等に罰則を設ける必要があるというのは、企業のセキュリティ体制を維持していく上で、今更ながらといった感じがする、基本中の基本事項である。

 しかし、セキュリティ教育や、啓蒙活動は、本当に効果が現れているといえるだろうか。一般にいわれている教育活動や啓蒙活動は、本当に意味あるものとなっているのだろうか。大抵の場合は社員から不平不満が現れ、ルールが守られずに形骸化していく。もっとも、形骸化しないようにするために、PDCAサイクルで定期的に見直しを行っていくわけだが,いかに見直すといっても、これだけは守らせたいといった事項をねじ曲げてまで社員に迎合するような見直し方をしたのでは、そもそもセキュリティ対策を講じる意味がなくなってしまう。守らせるためのルール作りではあるが、守ってもらうために緩めていては、それは見直しでも何でもなくなってしまう。やはり、いかに守らせるのかを考えるための見直しでなくてはならない。

 だが、そうはいっても、どうやって見直せばいいのだろうか、といった疑問は残ることになる。教科書的な答えは、「セキュリティの重要性を社員に理解させ、もしもルールを破った場合、どのような問題が発生して、企業にどのくらい大きなダメージを与えるのかを具体的にはっきりと伝えることである。」ということになるだろう。しかし、本当に、はっきりと伝えれば、社員はみんな守るのか?本当にそんなにお利口な社員ばかりなのか?かなり疑問である。

 では、もし、セキュリティを十分に理解してくれる社員ばかりでなかった場合、どうすればよいのだろうか?

 まず、そもそも、どのようなルールが守られないのかを考えてみなければならない。すると、一般的に、定期的に何かをさせるといったルールのほとんどは、うまく機能していないことに気付くはずだ。たとえば、定期的にセキュリティパッチを適用することや、定期的にウイルスチェックをかけるといったことである。すなわち、能動的な義務規定は、通常守られない傾向が強いのである。何かをやれ!は機能しないのである。これに対して,受動的な禁止規定は、いつの間にか守られていく傾向が強い。これは、たとえば、「○月○日の×時から×時まではパソコンを使ってはいけない」といったものである。特に、理由を説明された上での禁止規定というのは、非常に受け入れられやすい。


LEC東京リーガルマインド
IT事業本部
http://lec.jp/it/ss/s/top/

(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 埼玉大学で在学生 8,373 名の学籍番号及び GPA 等を含む個人情報が閲覧可能に

    埼玉大学で在学生 8,373 名の学籍番号及び GPA 等を含む個人情報が閲覧可能に

  2. 「攻撃者の高い執念が感じられ」る 日本語版 EmEditor Web サイトのリンク改変

    「攻撃者の高い執念が感じられ」る 日本語版 EmEditor Web サイトのリンク改変

  3. EmEditor「公式サイトからダウンロードしたお客様が被害に遭われた点に重い責任を感じて」いる

    EmEditor「公式サイトからダウンロードしたお客様が被害に遭われた点に重い責任を感じて」いる

  4. 宅地建物取引士証の交付時に誤った顔写真を貼り付け

    宅地建物取引士証の交付時に誤った顔写真を貼り付け

  5. 人気米Youtuberが約4億円で購入した「ポケモンカード」、包装に改ざん跡

    人気米Youtuberが約4億円で購入した「ポケモンカード」、包装に改ざん跡

ランキングをもっと見る
PageTop
ホーム 特集 特集 記事
TOP