情報セキュリティの話20

今回もご覧いただき、誠にありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回は、情報セキュリティに関するお話の20回目です。

 

前回に引き続き、企業・組織に属している人々の情報セキュリティリテラシー強化の方法のうち、「内部教育」について説明します。

 

内部教育は、いわゆる座学研修が基本となります。
セキュリティに関する一定の知識を有する社内担当者が講師になるか、外部の専門業者に依頼をする、またはこれらを組み合わせる形で行います。

 

個人的には、「用語の意味」の理解に重点を置くことと、「実例」を用いることが大切であると考えております。

 

セキュリティに関する教材などに登場する言葉の中には、どうしても「マルウェア」「有線LAN」「SSL」などの、ITエンジニア用語が含まれてしまいます。

 

まずこれらの意味を知ってもらわないと、いくら研修を行っても、セキュリティ対策に関する理解が進まないということになります。

 

また、セキュリティに限らず、ITに関する理解を進めるためは、実際に操作をしてみるということが大切です。

 

有線LANの抜き方や、データをウィルス対策ソフトで検査する操作などについては、実機で行ってみると一気に理解が進むこともあります。
不正なファイルや不正なリンクが付されたメールについては、実物を使用すると危険ですので、スクリーンショットなどの画像を使用して説明するとよいと考えられます。

 

座学研修と並行して、ITに関する基礎的な資格取得を奨励するという方法もあります。
一番の目的は、IT用語に馴染んでもらうことです。
そのため、高度な資格までは不要と考えられます。
例えば、独立行政法人情報処理推進機構(IPA)が実施しているITパスポート試験の受験が挙げられます。

情報セキュリティの話19

本日も本ブログにアクセスしていただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティに関するお話しも19回目となりました。

 

今回は、企業・組織に属している人々の情報セキュリティリテラシーの強化の方法について、その概要を説明します。

 

企業・組織内部でのセキュリティインシデントの発生は、故意によるものを除き、過失か、そもそも情報セキュリティに関する説明を理解できていないことが原因で起きると考えられます。

 

まず、情報セキュリティに関する説明が理解できているかどうかという点に焦点を合わせる必要があります。

 

例えば、マルウェア感染時の基本的かつ重要な初動対応である、「LANケーブルを抜く」という作業ひとつとっても、そもそも「LANケーブル」が具体的にどのようなものか、PCのどこに接続されているのか、どうやって抜くのか(一般的には抜け防止のためツメがあり、ツメを押しながら出ないと抜けない)がわからないということもあります。

(自分で書いておいてというところもありますが、「マルウェア」という言葉も、どちらかというとエンジニア側の用語であり、「コンピューターウィルス」を含む言葉であると考えられています)

 

企業・組織の事業所においては、コスト等の関係で今でもデスクトップPCを使用しているところも珍しくありませんが、近年では、私生活において使用するIT機器はスマホがメインになっていて、デスクトップPCになじみがない方も増えています。

 

メールに添付されたデータや、メディアを介して受け取ったデータはウィルス対策ソフトで検査することが大切ですが、使い方がよくわからないがために面倒で省いてしまうということも起き得ます。
(なお、「メディア」という言葉もやはりエンジニア寄りの言葉であり、「USBメモリ」「CD-R」「DVD」など、具体例を挙げないと通じない可能性もあります)

 

企業・組織に属している人々の情報セキュリティリテラシーを強化する方法としては、「内部教育」と「採用時の確認」が挙げられます。

 

次回以降、これらについて説明します。