法人組織のセキュリティ教育で工夫できること～小学生へのセキュリティ教育から考える～

学校も法人組織もセキュリティ教育の基本は同じ？

令和元年（2019年）に文部科学省が開始した「GIGAスクール構想」。全国の児童生徒1人に1台の端末と、高速大容量の通信ネットワークを一体的に整備するという取り組みで、GIGAは「Global and Innovation Gateway for All」の略です。この取り組みにより、現在ではほぼすべての児童生徒がタブレットなどのデバイスを使用できるようになりました。その一方で、いくつかの課題も浮き彫りになっています。例えば、教員のICT活用指導力、端末の管理運用などに加え、情報モラルやセキュリティ上の懸念などが挙げられます。こうした課題には、現場の教員や児童生徒の家族だけでは対応が難しい場合も多く、ICT支援員や場合によっては外部の専門家の支援を得て対応していく必要があるでしょう。

トレンドマイクロでは2008年から、子どもとその家族向けのセキュリティ教育プログラムに取り組んでいます。このプログラムは、子ども、その家族、教育関係者にインターネット利用に潜む最新の脅威やモラル、取り組むべき対策について、学び・考える機会を提供するものです。その一環で、当社社員の有志が講師役となって、世界中のたくさんの小中高校生に対して「インターネットセキュリティ教室」を開催してきました。

こうした学校の児童生徒を対象としたインターネットセキュリティ教室と、法人組織の従業員へのセキュリティ教育は、異質で共通点がないものなのでしょうか？確かに、多くの児童生徒が利用するインスタグラムなどのSNSやオンラインゲームと、それに関連するセキュリティ教育は、法人組織ではあまり縁がないかもしれません。一方で、今や様々なサービスの利用に欠かせないアカウントとその情報管理、デバイスのマルウェア感染、不審なリンクが含まれるメールなど、ユーザが直面し対処しなければならない脅威という点では、実はそれほど違いがないと言えます。

多くの法人組織で従業員へのセキュリティ教育に課題を抱えているという状況を耳にしますが、児童生徒向けのセキュリティ教室の様子からヒントを探ることができるかもしれません。2024年7月1日に、東京都江戸川区立葛西小学校において5・6年生を対象に行われたインターネットセキュリティ教室に当編集部も同行し、学びの内容や、児童の皆さんの様子を伺いました。

「自分ごと化」は有効

インターネットセキュリティ教室は5年生と6年生とで2回に分けて行われ、それぞれ約150人の児童が会議室に集まりました。講師役の当社社員は事前に、「質問を投げかけ、答えてもらいながら進めたい」と話していましたが、実際に児童の皆さんは、講師の質問に答えたり、手を挙げたり、周りの友達と話し合ったりと、活気のあるセキュリティ教室になりました。

葛西小学校でのインターネットセキュリティ教室の様子（SecurityGO編集部員が講師役に）

講師は、児童の皆さんに伝えるにあたり工夫したポイントとして、「ストーリー解説よりも実際のリアルなインターネットの危険性を示した画面（見知らぬ人からの接触・なりすまし・スミッシングメッセージ・フィッシングサイトなど）を見せることにこだわった」と述べています。リアルな画面で事例を伝えることにフォーカスし、それによって児童の皆さんが自ら「気を付けよう」と思えるようにした、ということです。

実際、スミッシングメッセージのスクリーンショットを見せると、「見たことがある」という児童もいて、身近に感じることができたようです。また、新型コロナウイルスワクチンの接種案内の正規サイトと偽サイト（フィッシングサイト）を並べ、本物だと思う方に挙手をしてもらうという一幕では、偽サイトのほうに多く手が挙がり、回答を知ると意外そうな表情が広がりました。「リアルな危険性」を感じた瞬間だったかもしれません。さらには、講師自身の友人がLINEアカウント乗っ取りの被害に遭った経験を話したところ、児童の皆さんは強い印象を受けたようです。その友人になりすました不審人物から送られた、「コンビニでギフトカードを購入してバーコードの写真を送ってほしい」というメッセージのスクリーンショットを見せると、一瞬会議室は静まり返りました。実際の経験や画面を目の当たりにすると、受けるインパクトの大きさが違うのでしょう。

身近な事例や、実際の経験を引用すると、「自分には関係のない、どこか遠くの話」ではなく、次は自分、家族、友人の身に起こるかもしれない、という実感が湧くと考えられます。このように「自分ごと」として捉えることで、興味を持てるようになり、記憶に残りやすくなり、いざというときに落ち着いて対処できる可能性が高まると考えられます。インターネット教室の最後に、児童の皆さんから「もし（スマートフォンが不正アプリに）感染したらどうすればいいですか」とか、「知らない人から電話が来たらどうしたらいいですか」などの質問が挙がり、自分の身は自分で守ろうという意識が感じられました。

受講者の「レディネス（知識や経験）」に応じた教育

一方、講師役の当社社員は、予想と違った点、こうすればよかったと思う点もあったと語ります。事前に担当の先生に連絡を取り、スマートフォン所有状況、SNSなどの利用状況をヒアリングし、児童の皆さんとインターネットとの距離をイメージしたうえで臨みましたが、実際の質問への受け答えや反応から、予想よりもかなりデジタルネイティブだと感じたそうです。動画をYouTubeにアップロードしたことがある児童や、オンラインゲームで課金したことのある児童が多くいたことは予想外だったとのこと。また、教室の後に先生から、LINEなどの文字のコミュニケーションで行き違いがあるという相談を児童から受けることがある、という話も聞きました。これらの点から、例えば、アップロードした動画に映り込んだ情報から個人が特定される可能性や、インターネットを介したコミュニケーションには誤解が生じやすい点なども伝えてあげればよかった、と思ったそうです。

学習の前提となる知識や経験などを「レディネス」と呼びます。レディネスがある学習者は自ら興味を持って学習を進められるとされている一方、レディネスがない場合、新しい学習の効果を上げることは困難とも言われています。講師としては、より正確・詳細に、児童の皆さんのレディネスを把握したうえで、より興味が持てて役に立つ情報を提供したかった、という心情なのでしょう。

とはいえ、現在の小学生を取り巻くIT環境は、親や教員の世代はもちろんのこと、数年前と比べても異なり、かつ現在進行形で変化を続けています。これに加えて、本人の興味や家庭状況などに応じた個人差もあるため、小学生のインターネットセキュリティに関するレディネスは、短期間で把握するのは限界があるかもしれません。

法人組織のセキュリティ教育におけるヒント

法人組織のセキュリティ教育では、「上司に言われたから受けた」、「受講後の確認テストに合格したら、内容は忘れてしまう」、という人も多いのではないでしょうか。自分の業務に直接関係がなかったり、自分の身に起こり得るという実感が乏しかったりすると、必要性が感じられず、「自分ごと」として銘記するのは難しいと思われます。

また、多くの法人組織には、様々なバックグラウンドの従業員がいます。多様な職歴の中途社員と、実務経験の浅い新卒者とでは、レディネスも異なるはずです。このため、画一的な、あるいは組織の実態に合わないセキュリティ教育では、知識の定着や興味の持ち方に差が生まれ、結果として組織全体のセキュリティリテラシー向上に影響がでる可能性もあります。

効果的なセキュリティ教育のために、受講対象者のレディネスを把握し、「自分ごと」として捉えてもらうには、どのような工夫をすればよいでしょうか？
まず、次の項目を確認・整理することをお勧めします。

・受講対象者の属性（例えば、業務におけるPC・インターネット利用歴、業務内容、使用システム・ツール、等）
・現在抱えているリテラシーの課題（例えば、セキュリティインシデントにつながりかねない知識の不足はないかどうか、業務で使用が禁止されているツール・機能・操作などの理解度はどうか、等）

これらによって、受講対象者の実態に即した教育内容が明らかになってくるはずです。
また、受講対象者をいくつかのグループに分け、グループごとにコアメンバーを選出し、講師と受講対象者の橋渡し役を担ってもらうと、次のように様々な効果が期待できます。

・グループのメンバーのニーズを細かく聞き取ることができる
・講習内容の企画会議に参加してもらうと、よりニーズに即した講習が行える
・グループにコアメンバーがいることで、上長や講師から「やらされている」のではなく、自分たちのために行っていると印象付けられる

さらに学習方法についても、講師からの知識伝達や個人で進める座学のほかに、ディスカッションや、失敗または成功経験を話し合う機会、ケーススタディの機会を設けることにより、興味の深化や知識の定着が期待できます。
内容の区切りごとにテストを行ったり、アンケートを実施したりすると、定着度の可視化や、講習内容の見直しにも役立ちます。

基本的には、自組織に適した教育は自組織で企画・運営することをお勧めしますが、時間やリソースに余裕がなかったり、専門性の高い情報や業界全体の最新動向などを入手したりする場合は、外部の専門家の支援を受けることもできます。トレンドマイクロでは、法人組織のセキュリティ教育も支援しています。一般従業員のほかに、経営者、管理者、セキュリティ人材など、部門や役職ごとのトレーニングコースを用意しています。こうしたサービスを利用しながらも、それぞれの組織の従業員にとって興味深く有益な教育内容を模索していくとよいでしょう。