平成27年度 春期 ITパスポート試験 公開問題 問63 解説 情報セキュリティ教育

この問題の正解はエです。情報セキュリティ教育は、誰に、いつ、何を教えるかが重要です。全社員が同じ内容を一律に学ぶのではなく、それぞれの役割や責任に合わせて適切な内容を選ぶことが、実効性のあるセキュリティ対策につながるという判断基準で正解を導き出せます。

なぜ他の選択肢が不適切なのか

ア：再教育は情報システムの入れ替え時だけでなく、定期的に、または新しい脅威が発生した際など、継続的に実施する必要があります。一度教えれば終わりではなく、最新のセキュリティ情報を常にアップデートすることが求められます。

イ：新入社員に対しては、業務に慣れるのを待つのではなく、配属の初期段階でセキュリティの基礎知識を習得させる必要があります。初期教育を怠ると、業務開始直後に不用意なミスやセキュリティ事故を引き起こすリスクが高まるためです。

ウ：対象は社員だけでなく、役員、派遣社員、業務委託先など、その組織の情報資産にアクセスする可能性があるすべての人が対象となります。特定の社員だけに限定すると、そこから情報漏えいが発生する隙が生まれてしまいます。

役割に応じた教育の重要性

なぜ「担当業務や責任に応じて教育内容を変える」必要があるのでしょうか。それは、社員によって「守るべき対象」や「負うべきリスク」が異なるからです。

例えば、経理部門であれば個人情報や銀行口座情報を扱うための高度な機密性維持が求められますし、システム管理部門であれば管理者権限の適切な管理やログ監視の重要性を深く理解する必要があります。一方、一般社員にはフィッシングメールへの対策や、パスワードの管理方法といった、日常的に起こりうる脅威への対処法を重点的に教えるべきです。

このように、対象者に合わせて教育内容をカスタマイズすることで、現場での実践力が養われ、組織全体のセキュリティレベルが底上げされます。これは「情報セキュリティマネジメントシステム（ISMS）」においても非常に重視されている考え方です。

組織における教育の目的

情報セキュリティ教育の真の目的は、単にルールを押し付けることではありません。社員一人ひとりが「自分が扱っている情報は企業にとってどのような価値があるのか」「もし漏えいしたらどのような影響が出るのか」を自分事として捉えられるようにすることです。

ITパスポート試験では、セキュリティは技術的な対策だけでなく、それを扱う人間の意識や教育も重要な要素であるという観点から出題されます。技術がどんなに進化しても、操作する人間がセキュリティ意識を欠いていれば、事故を防ぐことはできません。この問題を通して、組織全体でセキュリティ文化を醸成する重要性を理解しておきましょう。

参考リンク

• 情報セキュリティ教育とは？実施の目的と手順、効果を高めるポイント
• 【実録】全社員向けセキュリティ研修を自動化して運用コストを下げた話
• 情報セキュリティマネジメントシステム（ISMS）の概要