平成27年度 秋期 ITパスポート試験 公開問題 問84 解説 情報セキュリティ教育

正解へのアプローチ

この問題は、情報セキュリティ教育の対象範囲と実施タイミングに関する妥当性を問うものです。「情報セキュリティ対策は組織全体で取り組むべきもの」という原則に基づき、特定の部署に限定する記述が誤りであると判断できれば正解にたどり着けます。

なぜ情報システム部門だけでは不十分なのか

選択肢cの「対象は情報システム部門に所属する社員に限定する」が誤りである理由は、現代のセキュリティ脅威が技術的な脆弱性よりも、人間のヒューマンエラーを突くケースが圧倒的に多いためです。

標的型メール攻撃やフィッシング詐欺などは、経理、総務、営業など、職種を問わず全社員がターゲットになります。情報システム部門がどれほど強固な防御壁を作っても、一人の社員が不審なメールの添付ファイルを開いてしまえば、組織全体に被害が及ぶ可能性があります。したがって、セキュリティ教育は経営層から一般社員、派遣社員まで、組織に関わる全員を対象に継続的に実施しなければなりません。

教育の適切なタイミングと目的

情報セキュリティ教育には、日常的な浸透だけでなく、特定の状況下での強化も求められます。

• 新入社員研修への組み込み（記述b） 組織のセキュリティ意識やルールを最初に刷り込むことで、情報の取り扱いに対する正しい価値観を定着させます。セキュリティリテラシーのベースを作る工程です。

• 事件・事故発生後の実施（記述d） 実際に発生したトラブル事例は、社員にとって自分事として捉えやすい「生きた教材」となります。なぜ事故が起きたのか、どうすれば防げたのかを共有することは、再発防止の最も強力な手段です。

• 再教育における予防処置（記述a） 過ちを犯した本人に対する再教育は、単にルールを再確認させるだけでは不十分です。「なぜミスをしたのか」「どのような状況で判断を誤ったのか」という背景を分析し、次回以降の判断プロセスを改善する予防処置まで踏み込む必要があります。これは、個人のスキルアップにとどまらず、組織全体のセキュリティレベルを底上げするために不可欠なプロセスです。

このように、情報セキュリティ教育は「ツールや技術」だけでなく「社員の意識と行動」を変えるための組織的な取り組みとして理解しておくことが重要です。試験だけでなく、実務においてセキュリティ事故を防ぐための基本的なマネジメント手法となります。

参考リンク

• 情報セキュリティ教育の実施方法 - ITパスポート試験対策
• 【実体験】全社員向けセキュリティ研修の失敗と成功から学ぶ - Qiita
• 情報セキュリティ基本方針の策定と運用（IPA 独立行政法人 情報処理推進機構）