多くの企業で情報セキュリティ教育が実施されていますが、実施するための資料やコンテンツの準備に苦労されているご担当者も多いのではないでしょうか。

定期的な教育のほかにも、新入社員向けや標的型攻撃メール訓練向けの教育コンテンツなど、複数の資料のアップデートとなると骨が折れるものです。

Selphishのお客様からも、こんな声を伺うことがあります。

• 自社内で教育コンテンツを内製するのは時間がかかりすぎる。
• 動画の方がよいと言われるが社内で制作できない。
• 情報セキュリティの専門家ではないので、コンテンツ内容に不安がある。

とはいえ、同じコンテンツを使いまわしていると教育を受ける側も飽きてしまいますし、最新の情報を提供できていないがために、脅威や新しい手口に対する耐性が脆弱になってしまうことも懸念されます。

今回は、社内の情報セキュリティ教育に悩むご担当者に向けて、情報セキュリティ教育を実施する際に活用できるコンテンツをご紹介します。

社員の情報セキュリティ教育向けに公開されているコンテンツ

■新入社員等研修向け情報セキュリティマニュアル

（一般社団法人 JPCERTコーディネーションセンター）

https://www.jpcert.or.jp/magazine/security/newcomer.html

新入社員研修向け、または情報セキュリティ教育の基本を学びたい方に

新入社員向けとあるとおり、社会人1年目の方にも必ず知っておいていただきたい、情報セキュリティの基本を学ぶことができます。

また、指導する立場において「どのようなことに注意すべきか」、「何を理解してもらう必要があるか」、「知らないとどのようなインシデントにつながるか」が記載されており、新入社員教育以外にも、教育内容を見直すタイミングで参考にしたい資料です。

■「インターネットの安全・安心ハンドブック」

（内閣サイバーセキュリティセンター）

https://security-portal.nisc.go.jp/guidance/handbook.html

情報セキュリティの専任がいない組織に

学校や家庭での教育も対象とした、専門的な知識がなくてもセキュリティ対策がよく分かる資料です。

イラストが多く、イメージしにくいシステムの仕組みもわかりやすく図式化されています。印刷所用のデータや資料内の画像データも提供しているので、自社の資料にも活用できます。

中小組織向けの章では、人材・体制・資金などが限られた中小組織に向けて、セキュリティ対策への投資の考え方や社内ルールの作り方、最低限知っておくべき法律などが紹介されています。

■映像で知る情報セキュリティ ～映像コンテンツ一覧～

（情報処理推進機構）

https://www.ipa.go.jp/security/keihatsu/videos/index.html

資料を見てもらえないという方には動画コンテンツ

情報技術・情報処理に関する日本有数のサイトが提供する、セキュリティを学ぶための映像コンテンツ集です。

基本的な情報セキュリティ対策はもちろん、ビジネスメール詐欺や手口の紹介など、テーマに特化したシリーズものなど、広く展開されています。

アニメやドラマ形式によるストーリー仕立てで解説するなど、わかりやすく工夫されています。

■ここからセキュリティ！

（情報処理推進機構）

https://www.ipa.go.jp/security/kokokara/study/company.html

情報処理推進機構（IPA）が運営する「教育コンテンツのまとめサイト」

サイトの運営者であるIPAはもちろん、総務省・警察庁などの公的機関、マカフィーなどの民間企業が公表している教育コンテンツをまとめた、ボリューム満点のまとめサイト。

コンテンツが、社員向け、経営者向け、システム管理者向けなどの対象者別に分類されており、自身の立場や教育の対象者に合わせた情報が探しやすい構成です。

理解度のチェックサイトなども紹介されており、自社の状況や対象に応じた資料、チェックシートが作成できます。

■迷惑メール白書

（迷惑メール対策推進協議会）

https://www.dekyo.or.jp/soudan/aspc/wp.html

標的型攻撃メール訓練の教育コンテンツに

迷惑メールに特化した資料で、広告含む迷惑メール全般に関して概況から事例まで、メールの仕組みに詳しくない方にも読みやすいよう丁寧に解説されています。

フィッシングやビジネスメール詐欺、ウイルスメールなどについても扱っており、仕組みやメールの例などが紹介されています。

■セキュリティ対応組織の教科書 v3.0

（日本ネットワークセキュリティ協会）

https://isog-j.org/output/2023/Textbook_soc-csirt_v3.html

番外編 セキュリティに強い組織をつくる手引き

企業内でセキュリティに対応する組織（CSIRT等）において、実用的な機能や役割、体制についてまとめられています。

自社のリソースに応じて、自組織で実施すべき領域や、専門の業者に依頼すべき内容などの分担の考え方も記載されており、初めてセキュリティ対応組織を作る企業、今の体制を見直したい企業におすすめです。

まとめ

社会のトレンドの変化や技術の革新に応じて、情報セキュリティの脅威は日々変化しています。企業においてもまた、変化する脅威を理解し、未然に防ぐような教育は不可欠です。

外部コンテンツなどをフル活用して、効率的且つ効果的に情報セキュリティ教育に取り組まれることをおすすめします。

また、情報セキュリティ教育は内容も重要ですが、定着させるための「継続」と、教育内容が身についているかどうかの「効果測定」もポイントです。例えば、サイバー攻撃を受けた際の対処方法や報告ルールを社内に教育したとしても、浸透していなければ効果はありません。

社員が適切に対応できるか、報告ルートを認識しているかを確認し、不足部分に再教育や別の対策を実施することで、教育の効果が高まります。

標的型攻撃メール訓練サービス「Selphish（セルフィッシュ）」のご紹介

定期的に攻撃メールを模倣したメールを送信することで社員の攻撃メールに備える力を育て、また訓練とともに教育コンテンツを提供することで、学習の機会を提供します。訓練メールの結果を提供し、自社のリスク分析を支援します。

Selphishの訓練形式は、ExcelやWordの添付ファイル型、URLの埋込み型に対応しています。訓練メールのテンプレートは30種類以上あり、シンプルで分かりやすい管理画面で訓練が手軽に始めやすいのが強みです。

ぜひ無料お試しで体験してみてください。

https://selphish.security-academy.jp/trial_user_register/

業務委託型の訓練サービスも提供できますので、メール訓練サービスに興味があればぜひお問い合わせください。

◎業務委託型メール訓練サービスProactive Defense

https://www.proactivedefense.jp/services/training/targeted-email-attacks-training