株式会社 NTT データ経営研究所

(1)

平成 22 年度内閣官房情報セキュリティセンター委託調査

平成 22 年度情報セキュリティに係る人材育成・確保及び普及啓発に関する調査・検討

報告書

2011 年3月

株式会社 NTT データ経営研究所

(2)

I.

事務局検討資料 ... 67

I.I.

調査・検討の流れ ... 67

I.II.

検討会の実施 ... 70

I.III.

情報セキュリティの普及啓発の在り方及び方策における検討 ... 71

I.III.I. 普及啓発の検討要素 ... 71 I.III.II. 注力領域 ... 72

委員名簿

参考１「情報セキュリティに関する普及・啓発活動の調査結果」

参考２「情報セキュリティに関する人材育成活動の調査結果」

(4)

1. 本調査・検討の背景と目的 1.1. 背景

情報セキュリティ政策会議（2010 年 5 月 11 日）において決定された「国民を守る情報セキュリティ戦略」では、新たな環境変化に対応した情報セキュリティ政策の強化を行うことが定められた。この強化政策では、次の 2 点が示されている。



国民・ユーザ保護の強化として「普及・啓発活動の充実・強化」の取り組み



技術戦略の推進等として「情報セキュリティ人材の育成」の取り組み

上記戦略を受けて「情報セキュリティ 2010（情報セキュリティ政策会議第 24 回会合決定同年 7 月 22 日）」では、内閣官房が情報セキュリティの普及・

啓発手法の検討と情報セキュリティ人材育成に関する工程表を策定することとなった。

1.2. 目的

本調査・検討は、「国民を守る情報セキュリティ戦略」及び「情報セキュリティ 2010」を受けて、「普及・啓発活動の充実・強化」及び「情報セキュリティ人材の育成」の取り組みについて、情報セキュリティ人材を取り巻く現状や課題等についての調査、分析を行ったうえで、今後の情報セキュリティ人材の育成・確保及び普及啓発に関する政策の在り方を明らかにするものである。

本調査・検討では、昨今の情報セキュリティ情勢を踏まえ、各方面からの具体的な課題の検討と、実施すべき人材育成・確保及び普及啓発に関する課題の抽出を行ったうえで、政府が緊急的に取り組むべき課題について、有識者による検討を行う。

本調査・検討は、政府が推進すべき人材育成及び普及啓発に関する施策の立案の起点となることを目的とする。

(5)

2. 情報セキュリティの普及啓発の在り方及び方策 2.1. 情報セキュリティの普及啓発の意義

IT 及び IT を利用したサービス（以下、IT サービス）は、日々進化を続け社会に新たな変革をもたらしている。IT の進化及び IT がもたらす変革は、

従来のセキュリティ上の課題を解決する一方で、別の課題を新たに発生させている。このように情報セキュリティには解決しなければならない課題が時間とともに移り変わる「Moving Target」と呼ばれる特徴がある。そのため、

時間とともに変わる情報セキュリティ上のリスクからユーザが自らの身を守る知識を身につけられるよう、情報セキュリティの普及・啓発を継続的に行う必要がある。

IT サービスの仕組みは様々な技術や仕掛けを複合的に利用していることから、その仕組みが変化すればリスクも変化する。しかし、ユーザはそこで利用されている仕組みを理解せずにサービスを享受するため、ユーザはその仕組みが持つリスクによって、被害を受ける可能性がある。したがって、時代に応じたサービスごとの仕組みの理解について、継続的な普及啓発が必要である。

一方で、仕組みは個々のサービスによって異なるが、便利なモノにはリスクが伴うという情報セキュリティの本質は、全てのサービスに共通する。このようなリスク認識をユーザが持てば、新しい IT サービスを利用する都度、

ユーザ自身が自発的に注意を払うことが期待できる。このことから、情報セキュリティの本質を教えるという普遍的な普及活動が必要となっている。

以上を踏まえて本調査・検討では情報セキュリティの普及啓発の意義を以下のとおり定義する。

「IT サービスの仕組みと情報セキュリティの本質の両方を国民（ユーザ）

に啓発することによって、ユーザがセキュアな行動様式を持ち、IT サービスの変化に自発的に対応できるようになること」

(6)

2.2. 情報セキュリティの普及啓発状況

2.2.1. 日本の状況

（1） IT 環境

ユーザを取り巻く IT 環境は、ブログやソーシャルネットワークサービス（以下、SNS）等の新しいサービスやクラウドコンピューティングの利用拡大予測に見られるように、新しい IT の活用方法が浸透・進展しつつあり、従来以上に多様化が予測される（図 1、図 2、図 3、図 4 参照）。

インターネット利用者の増加と通信環境の大容量化・多様化

出典：総務省「電気通信サービスの契約数及びシェアに関する四半期データの公表」

（平成21年度第3四半期（12月末））

ブロードバンド契約数の増加

増加インターネットの人口普及率の漸増

出典：総務省「平成21年通信利用動向調査」

漸増

図 1 IT 利用シーンの多様化

¹

出典：総務省「ソーシャルメディアの利用実態に関する調査研究」（平成22年）

ソーシャルメディアの利用の高まり

過半数が利用を経験

今後、利用者拡大の可能性

図 2 ソーシャルメディアの利用の高まり

²

(7)

図 3 ASP・SaaS/クラウドの利用拡大の予測

³

テレワーク導入の進展

増加

図 4 テレワーク導入の進展

⁴

(8)

また、インターネット利用端末等のデバイス環境については、モバイルの利用拡大が進んでいるほか、従来の携帯電話に加えてスマートフォンの利用が増えるなど、デバイスの多様化が進んでいる（図 5、図 6、図 7、図 8 参照）。

インターネット利用端末の多様化

図 5 インターネット利用端末環境の多様化

⁵

図 6 国内スマートフォン市場規模推移と予測

⁶

(9)

図 7 スマートフォン市場（出荷台数・契約数）の推移・予測（2010 年 12 月予測）

⁷

図 8 国内スマートフォン/タブレット型端末の増加予測

⁸

(10)

加えて、サービスやプラットフォームの提供主体は、国内メーカの市場シェアよりも、海外メーカが６割以上のシェアを持つ状況に進んでいる（図 9 参照）。

サービスやプラットフォームのグローバル化が進んでいる

出典：MM総研 2010年度上期国内スマートフォン出荷台数シェア

2010年現在、スマートフォンの６割が海外メーカ海外のSNSの国内利用の進展の例

２００８年５月 Facebook日本語版リリース

２００９年１１月ユニークユーザが１年で４倍の１３９万人まで増加

２０10年１０月 Facebookとmixiが連携を開始 Facebookへの投稿がmixiへ反映される機能をFacebook側が提供

海外から提供されるサービスの状況

国境をまたいでユーザがサービスを利用する環境が今後も増えてくると予想されるクラウド環境では既にSalesForce.com、アマゾンEC2、gmailに代表されるように、国内法人はあるものの、サービスが国内法令がおよばない海外から提供されるケースやサーバやデータが海外に移転するケースが増えると予想される

図 9 IT 環境のグローバル化

⁹

このような IT 環境の変化に伴い、IT サービスに関する情報セキュリティの取り組みは、サービスやプラットフォームのグローバル化を踏まえた対応が必要な状況にあるといえる。

(11)

（2）情報セキュリティリスクに対する取り組み実態

情報セキュリティに関するトラブルの発生率は下げ止まり傾向にある一方で、コンピュータウイルスの発生率は依然として高く、ウイルスや攻撃の種類が多様化している。また、当事者の注意不足による情報漏えいも未だに発生している（図 10、図 11 参照）。

出典：経済産業省「平成２１年情報処理実態調査結果報告書」

下げ止まり

高い発生状況

うっかり情報漏洩も未だに

発生

情報セキュリティトラブルの発生状況

図 10 情報セキュリティトラブルの発生状況

¹⁰

(12)

情報セキュリティの潮流※

マルウェア/スパイウェア

ボット

ワンクリック不正請求

フィッシング詐欺

不正アクセス

標的型攻撃

偽セキュリティ対策ソフト

継続して高い発生

減少傾向

海外動向から、日本でも拡大が予測増加傾向

増加傾向

うっかり情報漏洩

以前より減少したが、

高止まり傾向海外動向から、日本でも拡大が予測高い

発生状況

うっかり情報漏洩も未だに

発生

※NTTデータ経営研究所調べ

図 11 情報セキュリティの潮流

¹¹

(13)

一方、警察における相談受理件数及び検挙件数を比較すると、平成 17 年と平成 21 年の相談件数は同程度であるにも関わらず、検挙件数は 2 倍となっている。これらの状況から、サイバー空間の安全性を確保する政府の取り組みは一定の効果を出しているものと考えられる（図 12、図 13 参照）。

出典：警察庁「平成２１年度中のサイバー犯罪の検挙状況等について」

同程度の相談件数

図 12 都道府県警察における相談受理件数の推移

¹²

増加

図 13 検挙件数の推移

¹³

(14)

また、図 14 にあるように、世帯及び企業におけるユーザ側の情報セキュリティ対策意識及び情報セキュリティ対策状況は過半数以上が実施しており総じて向上している状況にある。ただし、図 15 の年代及びパソコン習熟度による層別の比較では、15 歳～19 歳の若年層及びパソコン習熟度初級レベルの層は、他の層に比べるとセキュリティ対策の実施率が低い状況が読み取れる。さらに、

図 14 では実施状況が十分と言えない情報セキュリティ対策も未だに存在していることが分かる。ユーザの情報セキュリティ意識の実態調査である図 16 からは、情報セキュリティ対策を強く意識している人が全体の 80％を超えるなかで、

意識していない層も未だに 2%程度存在していることが示されている。

出典：総務省「平成２１年通信利用動向調査」（平成22年4月）

過半数が実施取組余地有り

②企業

①世帯

情報セキュリティ対策の実施状況

図 14 情報セキュリティ対策の実施状況

¹⁴

(15)

図 15 情報セキュリティ対策の年代及びパソコン習熟度による層別比較

¹⁵

(16)

情報セキュリティ対策の必要性

出典：警察庁「不正アクセス行為対策等の実態調査報告書」（平成22年2月）

情報セキュリティ対策の必要性

出典：警察庁「不正アクセス行為対策等の実態調査報告書」（平成22年2月）

必要性は３年間でともに８０％を超えているが、年々強く意識する傾向にある

強く意識している人が大半を占める中、意識していない層もまだ存在している

図 16 情報セキュリティ対策の必要性

¹⁶

これらの状況を鑑みると、IT 利用環境は常にウイルス等の新たな脅威にさらされているため、若年層及び初心者層による情報セキュリティ対策の実施が必要な状況にあるといえる。

(17)

（3）情報セキュリティの普及啓発活動

情報セキュリティの普及啓発活動の調査

¹⁷

結果を図 17 に整理する。政府機関や情報セキュリティに関連する研究機関及び民間企業は、ビジネスユーザ及びホームユーザに対して、国民・ユーザ全体を網羅した取り組みを行っている状況がうかがえる。

普及・啓発の対象ビジネスユーザ

ホームユーザ

企業全般大企業中小企業専門家^＊大学小中高校教職員子供・

保護者高齢者

政府機関

普及・啓発活動の主体

内閣官房 ○ - - - ○ - - - - -

総務省 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

経済産業省 ○ - ○ ○ ○ ○ ○ ○ ○ -

文部科学省 - - - - - ○ ○ ○ ○ -

警察庁 ○ ○ ○ ○ ○ ○ ○ ○ ○ -

中小企業庁 ○ - ○ - - - - - - -

地方自治体 ○ - ○ - ○ - - - ○ ○

国民生活センター - - - - ○ - - - - -

研究機関

IPA ○ - ○ ○ ○ ○ ○ - - -

JNSA ○ ○ ○ - ○ - ○ ○ ○ -

JPCERT/CC ○ ○ ○ ○ ○ - - - - -

SPREAD ○ - - ○ - - - - - ○

JPNIC ○ - - ○ - - - - - -

フィッシング対策協議会 - - - ○ ○ - - - - -

¹⁸

これら（1）から（3）で示した情報セキュリティの普及啓発活動と IT 環境の多様性及び情報セキュリティリスクに対する取り組みから、日本における情報セキュリティの普及啓発として以下の示唆が得られた。



情報セキュリティ対策を意識しているユーザは、情報セキュリティの普及啓発は十分認知された状況



IT 環境の変化や新種のウイルス等が常に発生している IT 利用環境の特徴を踏まえた場合のユーザに対する情報セキュリティ対策の取り組み余地の存在



情報セキュリティの普及啓発は、情報セキュリティ対策を意識していない層や若年層及びパソコンスキルの低い層には行き届かない状況

(18)

2.2.2. 海外の状況

¹⁹

諸外国においても政府機関が主導して普及啓発に取り組んでいる。具体的には以下のような取り組みがある。



IT 利用時のリスクへの気付きを促す情報提供

 保護者が家庭で子供とともに勉強できるセルフアセスメントシートの提供



普及啓発の実施者向けに教材やポスター等セキュリティ・ツールキットの提供

（1） IT 利用時のリスクへの気付きを促す情報提供

米国では、「STOP. THINK. CONNECT.」と題したグローバルキャンペーンを、

民間企業、非営利組織、政府機関が連携した取り組みを行っている。

EU では、ENISA

²⁰

が一般市民や企業、公共団体向けに、情報セキュリティの意識向上を目的とした、IT 分野におけるセキュリティ確保とリスクマネジメントのベストプラクティス（ENISA’s ten security awareness good practices）

の提供による情報セキュリティに関する普及啓発活動を行っている。

ドイツでは、BSI

²¹

が一般市民や中小企業、公共団体向けに、各種パッチ情報の提供といった情報セキュリティに関する普及啓発活動を行っている。

（2）保護者が家庭で子供とともに勉強できるセルフアセスメントシートの提供

米国では、連邦中央政府及び州政府等の機関（DHS

²²

、NCSA

²³

、MS-ISAC

²⁴

等）

が主導して、一般市民や企業、学校・公共団体向けに、Web 上でのビデオ動画による学習やセルフアセスメントの提供によるリスク意識の向上活動を行っている。

19

調査結果の詳細は、参考１「情報セキュリティに関する普及啓発活動の調査結果」参照

20

European Network and information Security Agency（欧州ネットワーク情報セキュリティ庁）

（http：//www.enisa.europa.eu/）

21

Bundesamt für Sicherheit in der Informationstechnik（情報セキュリティ庁）（https：

(19)

（3）普及啓発の実施者向けに教材やポスター等セキュリティ・ツールキットの提供

米国では、連邦中央政府及び州政府等の機関（DHS

²⁵

、NCSA

²⁶

、MS-ISAC

²⁷

等）

が主導して、一般市民や企業、学校・公共団体向けに、ダウンロード可能な情報セキュリティに関する各種教材等のセキュリティ・ツールキットを提供している。

ドイツでは、BSI

²⁸

が一般市民や中小企業、公共団体向けに、Web 上でのビデオ動画による学習やダウンロード可能な各種セキュリティ対策ツールを提供している。

25

Department of Homeland Security（アメリカ国土安全保障省）（http：//www.dhs.gov/index.shtm）

(20)

2.3. 情報セキュリティの普及啓発の現状及び課題の抽出

2.3.1. 課題抽出のフレーム

課題抽出を行うために対象を以下のとおり区分する。



ホームユーザ（若年層）

私的用途に IT サービスを利用する者のうち、小学校・中学校・

高等学校就学中の者



ホームユーザ（成人層）

私的用途に IT サービスを利用する者のうち、ホームユーザ（若年層）以外の成人の者



ビジネスユーザ

ビジネス用途に IT サービスを利用する者



基盤

IT サービスを利用する者のセキュリティ意識に直接的・間接的に影響を及ぼす周辺環境

(21)

2.3.2. 現状及び課題

本節では、情報セキュリティの普及啓発手法を検討するにあたり、前節で区分した各対象について、現状及び課題を提示する。

（1）ホームユーザ（若年層）

若年層を取り巻く IT サービスの利用及び普及啓発の現状は、以下の 2 点が認められる。

＜現状＞

①リスク及び仕組みの認識不足

IT の普及とインターネット利用端末の多様化によって若年層のうちから気軽に IT サービスに触れる機会が提供されている。しかし、若年層は IT サービスの仕組みの理解やリスクの存在の認知が低い状態で、ブログや SNS 等の IT サービスを利用する状況が増加している。

② 学校教師のリテラシー・知識不足

学校教育では、教える側である学校教師の IT や情報セキュリティ等の情報教育に関するリテラシーや知識がまだ十分とは言い難い状況にある。このため、若年層向けの情報セキュリティに関する教育は、教える側に当該分野に関する重要性の理解不足という問題が認められる。

(22)

以上を受けて、課題は以下の 3 点を設定する。

＜課題＞

Ⅰ：情報セキュリティの本質及び仕組みの教育

＜現状＞①を改善するため、若年層の IT サービスの利用状況と発達段階に応じて、低学年の段階から情報セキュリティの本質の考え方や IT サービスの仕組みを教える必要がある。

Ⅱ：学校教師のリテラシー・知識の向上

＜現状＞②を改善するため、若年層への教育は、教える側である学校教師のリテラシーや知識の向上と、その促進のために、教育を推進する組織の長や学校教師が所属する組織の長に対する普及啓発が必要である。

Ⅲ：家庭における情報セキュリティ教育の重要性認識の向上

＜現状＞②を改善するため、若年層については家庭における情報セキュリティ教育の役割も重要であることを認識した取り組みが必要である。

(23)

（2）ホームユーザ（成人層）

成人層を取り巻く IT サービスの利用及び普及啓発の現状は、以下の 3 点が認められる。

＜現状＞

①IT リテラシーのばらつき

成人層は、自分たちが社会生活や経済活動を通じて経験してきた IT 利用環境やリテラシー獲得機会等のバックグラウンドに応じて、

情報セキュリティ対策の認識度合いにばらつきがある。

②仕組みの理解不足

年齢層に関係なく新しい IT サービスのユーザはその仕組みを知らずに利用している場合が多いため、IT サービスに内包するリスクにさらされている状況にある。

③IT の進化に追従し続けることの難しさ

情報セキュリティの Moving Target という性質から、対応すべきことが時間とともに移り変わるため、多様性がある個々の IT サービスの仕組みを網羅的に教えることは困難な状況である。

＜課題＞

Ⅰ：仕組みの理解を促す啓発

＜現状＞①②を改善するため、過去に IT リテラシーの向上機会を得られなかった人に対しては、情報セキュリティに関する知識レベルをあるべき水準まで引き上げるために、IT サービスの仕組みを知る機会を与える必要がある。

Ⅱ：情報セキュリティの本質の理解を促す啓発

＜現状＞③を改善するため、情報セキュリティの本質であるリスク認識の考え方や自身の利用する IT サービスのリスクを知る機会を与える必要がある。

(24)

（3）ビジネスユーザ

ビジネスユーザを取り巻く IT サービスの利用及び普及啓発の現状は、以下の 2 点が認められる。

＜現状＞

①モチベーションの低下

現在の日本ではビジネスユーザ個人に対する、情報セキュリティ事故発生への責任追及や損害賠償等のペナルティが弱く、インセンティブがあまりないため、企業の情報セキュリティの取り組みに対するモチベーションが低い状況にある。

②企業内教育における対象者のミスマッチ

企業には大小様々な規模や事業形態が存在しているが、情報セキュリティトラブルの発生は規模の大小にかかわらず、顧客情報等、

保有する情報や管理体制によってバラバラである。また、多くの企業において、顧客対応に接点を持つ者は企業経営者や組織の長というよりも、多くの場合一般社員や派遣社員であることが多い。また、

スーパーマーケットやコンビニエンスストア等の店舗においては、

パート従業員やアルバイト従業員であることが多い。

このため、経営者は社員のみならず、会社で働く全ての従業員を対象に、情報セキュリティ教育を実施する必要がある。しかし、現状では、必ずしも実施できていない状況にある。

以上を受けて、以下に課題を設定する。

＜課題＞

Ⅰ：経営層への啓発

＜現状＞①②を改善するため、企業における情報セキュリティ対策の必要性を組織の長が認識したうえで、企業内で働く全ての従業員に企業ガバナンスの仕組み活用を前提とした情報セキュリティ対策を浸透させる環境づくりを行う必要がある。

(25)

（4）基盤

基盤については、以下の 4 点に IT サービスの利用及び普及啓発の現状を整理できる。

＜現状＞

①対策指針等の認知不足

情報セキュリティ対策の取り組みとして、何をどこまで実施する必要があるのかが不明であるため、企業やユーザの情報セキュリティの取り組みが進まない状況にある。

②リスクの周知不足

IT サービスがどのようなリスクを伴っているのか、またどのような対策が施されているのか、を公表する仕組みがないため、IT に関する仕組みを知らないユーザは、リスクを認識・判断して IT サービスを選択することができない。

③相談窓口の認知不足

情報セキュリティトラブルが発生した場合、どこに連絡や相談をすべきかについてのユーザの認知が低い。また、ユーザに的確な連絡・相談先を認知させる環境がない。

④普及啓発に関する効果測定の仕組みの欠如

ユーザの情報セキュリティに関する認知度を把握・評価する効果測定の仕組みがないため、普及啓発の施策を検討することが困難な状況にある。

＜課題＞

Ⅰ：対策指針・基準等の整備・周知

＜現状＞①を改善するため、最低限取り組むべき情報セキュリティ対策に関する指針等の基盤構築が必要である。

(26)

Ⅱ：リスクをユーザに周知する仕組みの整備

＜現状＞②を改善するため、IT サービスが持つ情報セキュリティリスクについて、万人が容易に理解できるような環境基盤を構築する必要がある。

Ⅲ：相談窓口の整備・周知

＜現状＞③を改善するため、情報セキュリティトラブルの発生対応窓口の一元化、若しくは対応体制の整備が必要である。

Ⅳ：普及啓発に関する効果測定の仕組みの整備

＜現状＞④を改善するため、普及啓発の効果を測定する仕組みの整備が必要である。

(27)

2.4. 情報セキュリティの普及啓発の課題への解決策の提案

「2.3.2 現状及び課題」で設定した課題の解決策を以下に示す。本章に記載する施策は検討会での議論を踏まえた具体例であり、課題解決の方向性を今後さらに施策として具体化する際の参考となる。

2.4.1. 課題への解決策

本節では、前節で対象ごとに検討した課題への解決の方向性を示したうえで、具体的方策を提示する。

（1）ホームユーザ（若年層）

若年層向け情報セキュリティの普及啓発では、若年層の生活圏として中心的な場である学校と家庭に焦点をあてて、「2.1 情報セキュリティの普及啓発の意義」で整理した情報セキュリティの本質と仕組みについて教育することを検討する。

このとき、危険なものには近づかないことを中心に記載した内容に偏りすぎた教育は IT 利用そのものを阻害する可能性があるため、ケーススタディに基づいた情報セキュリティの本質を教えることが有効と考える。そのうえで、

発達段階に応じた教材・手法を用いる必要がある。併せて、若年層に情報セキュリティを教える側の学校教師や保護者のリテラシーや知識を高める必要がある。

このような考えに沿って、若年層向け情報セキュリティの普及啓発は、「情報安全教育」の枠組みに組み込むことによって、教育の現場に過度な負荷をかけないよう配慮する。そのうえで、学校教師・保護者・校長及び副校長等の管理職に対する普及啓発と、現場での教育を支えるための教材・ツールの提供を検討する。

具体的には、以下の 3 点を解決の方向性とする。

＜解決の方向性＞

① 情報セキュリティの本質及び仕組みの教育

課題Ⅰを解決するため、学校では小・中・高校生それぞれの発達

(28)

②学校教師の IT リテラシー・知識の向上

課題Ⅱを解決するため、学校教師の IT リテラシーや知識不足を補強する取り組み、及び学校組織の長である校長及び副校長等の管理職に情報セキュリティ教育の重要性を訴求する取り組みを行う。

 学校教師に対する IT リテラシー・知識向上

デジタル・ネイティブ世代

²⁹

である現代の若年層に対して情報セキュリティ教育を行うには、若年層が使いこなしているような IT リテラシーや知識を学校教師も保有若しくは理解しておくことが必要である。指導者として理解・保有しているべき情報セキュリティ指導上のポイントを記載した指導要領を学校教師向けに用意するなどが考えられる。

 教育関係者に対する情報セキュリティ教育の重要性認知向上

教育の現場において情報セキュリティ教育を実施するには、教育委員会や校長及び副校長等の管理職の理解と認識が不可欠であることから、これらの教育の重要性に関する認知度を向上する取り組みが考えられる。

③家庭における情報セキュリティ教育の重要性認識の向上

課題Ⅲを解決するため、学校から保護者に対して、情報セキュリティ教育への家庭の協力について働きかけを行う。

 保護者に対する情報発信

若年層は家庭で過ごす時間が多いことから、保護者の役割は学校教師と同じ役割であると考える。そこで、家庭に情報セキュリティ教育への協力を促すために、保護者に対して学校から情報を提供する機会や場を設定したうえで、情報発信を行うことが考えられる。

(29)

＜具体的方策＞

具体例として、以下の枠組みの下で方策を講じることが考えられる。

若年層

②－１小学生

②－２中学生

②－３高校生

学校教師

保護者校長及び副校長等政府機関の管理職

若年層教育の重要性を理解

家庭内教育内容の理解家庭内教育の重要性理解

③

教育サービス機関

情報セキュリティの認知度向上

地方自治体

（都道府県⇒市町村）

情報安全教育の重要性理解各自治体管轄の

教育委員会

若年層教育の方法を理解

啓発教育委員会が情報セキュリティ視点

から取組むための実施スキームを整備

中身の

提供中身の提供

①－1：学校校長及び副校長等の管理職向け方策

教育委員会は、校長及び副校長等の管理職に対して「教育の情報化に関する手引

³⁰

」に基づいた情報セキュリティに関する若年層教育の取り組みの重要性及び必要性について、校長会や副校長会等の連絡会の場において研修を行う。

①－2：学校教師向け方策

教育委員会は、学校教師に対して、情報セキュリティに関する若年層教育の取り組みの内容や指導上の要点を記載した「教育の情報化に関する手引」に基づいた指導要請を行う。

②－1：小学生向け方策

小学生向けには、学校教師が「教育の情報化に関する手引」に基づいて、情報セキュリティの基礎知識教育を「総合的な学習の時間」等の機会において、低学年、中学年、高学年の発達段階を念頭において適切な時期に実施する。

教材は従来からの文字中心のテキスト型にとらわれないものとする。

(30)

IT の普及やその他のメディアの普及に伴い、DVD や動画配信サイト等映像型の教材や参加者の意識に働きかける体験型授業等の若年層が親しみやすく理解しやすい教材の形式を考える。教材の内容は、発達段階を考慮して基本的な注意を促すことを中心としたものを想定する。

現行においては「総合的な学習の時間」等で扱うことが考えられる。

②－2：中学生向け方策

中学生向けには、学校教師が「教育の情報化に関する手引」に基づいて、中学生にとって身近なケーススタディを用い、情報社会におけるサービスの利便性とリスクを認識したうえで、IT サービスの利用方法の判断を自身で行うことを可能とする授業を適切な時期に行う。

教材は従来からの文字中心のテキスト型にとらわれないものとする。IT の普及やその他のメディアの普及に伴い、DVD や動画配信サイト等映像型の教材や参加者の意識に働きかける体験型授業等の若年層が親しみやすく理解しやすい教材の形式を考える。

現行の教育課程においては「技術・家庭」科などで扱うことが考えられる。

②－3：高校生向け方策

高校生向けには、学校教師が「教育の情報化に関する手引」に基づいて、高校生の生活範囲を考慮したケーススタディ及び課題解決型学習を中心に授業を行う。具体的には、個人情報漏えい等の法的リスクや、フィッシング詐欺のような金銭的被害、インターネット上での出会いによる生命身体に関わる被害等のケースを題材として、IT サービスを利用した社会生活のなかでどのようにリスクをヘッジするのか自衛の方法を教える。実施は、必履修教科「情報」などで扱うことを想定する。

教材は従来からの文字中心のテキスト型にとらわれないものとする。IT の普及やその他のメディアの普及に伴い、DVD や動画配信サイト等映像型の教材や参加者の意識に働きかける体験型授業等の若年層が親しみやすく理解しやすい教材形式を考える。

③：保護者向け方策

(31)

を持つように情報発信する。「学校便り」などの連絡手段を利用して情報セキュリティに関する話題を記載する。

情報提供の機会や場としては既存の仕組みを活用する場合は、PTA 組織や保護者会などの場が有効だと考えるが、すべての保護者が積極的に参加するとは限らないため携帯電話等を利用したプッシュ型の情報発信を考慮する。情報発信する内容は既に他の機関等で作成された情報セキュリティコンテンツを活用することによって学校現場で情報を作成する負荷を新たに発生させないように配慮する。

(32)

（2）ホームユーザ（成人層）

成人層は、構成する対象が 20 代から 100 歳を超える高齢層まで幅広く、IT 習熟度や IT サービスの利用頻度も多岐にわたる。情報セキュリティに関するリテラシー獲得度の低いユーザ及びある程度の獲得度はあるが、自分自身を守るまでのリテラシーを獲得していないユーザに焦点をあてることを検討する。

成人層向け情報セキュリティの普及啓発は、国内全域における上述の対象に対して「2.1 情報セキュリティの普及啓発の意義」で整理した情報セキュリティの本質と仕組みについて、リテラシーや知識が獲得できるよう取り組むことを考える。

成人層のなかにはどんなに普及啓発を行っても理解できない、理解しようとしない「永遠の初心者」とされる対象者も存在すると考えられるが、このような対象者もリテラシー獲得度の低いユーザとして扱い、普及啓発によって「永遠の初心者」を解消することを目指す。

このような考え方に沿って、成人層向け情報セキュリティの普及啓発は、

リテラシー獲得度合いの低いユーザ及び一般ユーザとの接点を重視して国内全域での教育・普及啓発機会を提供可能とすることを検討する。

①仕組みの理解を促す啓発

課題Ⅰを解決するため、一般及びリテラシー獲得度合いの低いユーザに必要な情報セキュリティのリテラシー及び知識が獲得可能となるようなコンテンツ内容と国内全域を網羅するコンテンツ内容の提供の方法を意識した普及啓発の取り組みを行う。



IT サービスの傾向に即したコンテンツ内容

一般の IT サービスの潮流に即した形で、それらサービスに内在する情報セキュリティリスクが理解できるようなものが考えられる。



国内全域をカバーする普及啓発方法

(33)

て行き届くことが可能である新聞やテレビ媒体やインターネットのポータルサイトも視野に入れる。

② 情報セキュリティの本質の理解を促す啓発

課題Ⅱを解決するために、ユーザが IT サービスに内在するリスクを認識したうえで、自身の行動を判断可能となるよう、情報発信を行う。

 普遍的な内容の情報発信

次々と生まれる IT サービスに利用される個々の技術に対する情報セキュリティ対策について、その誕生の都度、啓発するのではなく、普遍的な情報セキュリティの本質に着目した情報発信内容とするなどが考えられる。

(34)

政府機関

教育政策策定

①

情報セキュリティ

（本質）の認知度向上

ユーザ全般

情報セキュリティ

（仕組み）の認知度向上

一般及びリテラシー獲得度の低いユーザ

情報セキュリティ関係機関

（ＩＳＰ、ＪＮＳＡ、等）

② ボランティア

テレビインターネット

新聞広告

・・・

（メディア経由）

地方自治体

（都道府県⇒市町村）

募集応募

①：一般及びリテラシー獲得度の低いユーザ向け方策

コンテンツ内容は、ケーススタディを用いて IT サービスの仕組みや内在するリスクについて作成する。具体的には、ケーススタディでは、スマートフォンや地図情報検索サービス等の先進的、かつプライバシーの問題が発生する可能性があるサービス利用の際に何が情報セキュリティリスクなのかが理解できる内容を想定する。

国内全域を網羅する情報提供の場としては、地方公共団体の公民館等の施設が利用可能である。このため地方公共団体等が提供する公民館等の場を活用することによって、地方公共団体が採用した民間の人材が講座や研修を行う。また、広くユーザに情報周知の媒体として行き届くことが可能である新聞やテレビ媒体やインターネットのポータルサイトも普及啓発の手段として視野に入れる。

普及啓発主体は、地方公共団体が場の提供者と一致していることから情報セキュリティの普及に取り組むことが望ましいと考える。

ただし、地方公共団体が取り組むのが困難な場合には地域の情報セキュリティに関するリテラシーの高い人材を地方公共団体がボランティアとして採用することによって民間の人材を活用することが望まれる

³¹

。

(35)

民間の人材を活用した普及啓発活動の具体的なイメージとしては、

セキュリティ対策推進協議会との連携や、情報セキュリティ版民生委員の創設等が考えられる。

②：成人層一般向け方策

政府機関や情報セキュリティ関係機関が、成人層一般に対して、

定期的に情報セキュリティの本質を訴求するキャンペーンを適切な媒体を活用して行う。

例えば、毎年 2 月の「情報セキュリティ月間」が、そのタイミングとして考えられる。

また、普及啓発の手段としては広くユーザに情報周知の媒体として行き届くことが可能である新聞やテレビやインターネットのポータルサイト等

³²

を視野に入れる。

(36)

（3）ビジネスユーザ

企業規模の大小を問わず企業による情報セキュリティへの取り組み姿勢は、

経営者の情報セキュリティに関する認識に大きく左右される。従業員は経営者の方針に基づく企業ガバナンスに従って、情報セキュリティを意識した企業活動を行う。その結果、従業員が情報漏えい等の不祥事を起こした場合は、

経営者が責任を負う。

ビジネスユーザ向けには、企業ガバナンスが機能することを前提として、

企業方針への強い影響力を持った経営者及び部門長に焦点をあて、情報セキュリティの取り組みの重要性・必要性を啓発することが必要となる。

例えば、ポイントカード発行時に顧客の個人情報を直接扱うようなスーパーマーケットや美容院等の店頭において、正社員や契約社員の他に派遣社員やアルバイト・パート従業員が配置されている場合がある。こういった非正規雇用の従業員に対する社内の情報セキュリティ教育が行き届いていないために、情報漏えい事故等を発生させる事象が現場の実態として見受けられる。

経営層への啓発においては、非正規雇用の従業員についても正社員と同等の情報セキュリティ教育が必要であることを訴求する必要がある。

このような考え方に沿って、ビジネスユーザ向け情報セキュリティの普及啓発は、経営者及び部門長に焦点をあてた施策を検討する。

具体的には、以下を解決の方向性とする。

①経営層への啓発

課題Ⅰを解決するため、情報セキュリティ取り組みの重要性・必要性を経営層に訴求する普及啓発の取り組みを行う。



経営層に訴求する情報セキュリティに関する情報の発信

経営層の情報セキュリティに対する取り組みは、経営課題の側面の一つである。このため、情報セキュリティの取り組みが重要であり、必要であることを経営層に訴求するためには、情報セキュリティ対策が品質向上の一つの要素であり、最終的には利益に結びつく取り組みであるというような企業活動との関係性を盛り込んだ情報を発信することが求められる。経営者のコンプライ

(37)

政府機関

企業全般

①－１企業全般

①－２中小企業等

情報セキュリティ対策の認知度向上情報セキュリティ

の取り組みの必要性の認識度向上

経営者

情報セキュリティの取り組みの必要性の認識度向上

部門長

①

組織内におけるルールに従った情報セキュリティの取り組みを実施

※派遣社員、アルバイト・

パート従業員含む

一般社員※

社内規定に従った取り組みの継続

適確な実施政策等

による指示業界団体

①－1：企業全般における経営層向け方策

業界団体は、会員企業の経営層である経営者や部門長に対して、

情報セキュリティに関する指針の発信等によって情報セキュリティに取り組むメリットを啓発するキャンペーン、セミナー等を定期的かつ継続的に行う。

①－2：中小企業等における経営層向け方策

地域の商工 3 団体（日本商工会議所、全国商工会連合会、中小企業団体中央会）は、会員企業の経営層である経営者や部門長に対して、

情報セキュリティに取り組むメリットを啓発するキャンペーン、セミナー等を定期的かつ継続的に行う。

(38)

（4）基盤

情報セキュリティの普及啓発を行う環境として、安全安心な IT 利用が自発的に促進される仕組みが必要となる。具体的には、情報セキュリティ対策の実施状況をユーザが自身のサービス選択基準として判断できる環境整備などが考えられる。このような環境があれば、企業の情報セキュリティ対策への取り組みが品質向上や事業利益につながるため、企業が積極的に情報セキュリティ対策に取り組む状況が期待できる。

また、ユーザの相談窓口として連絡・相談先の明確化や普及啓発の取り組み効果を確認して改善を図るいわゆる PCDA サイクルを機能させるための効果測定の仕組みも考慮する。

①対策指針・基準等の整備・周知

課題Ⅰを解決するため、企業の情報セキュリティ対策の取り組みがユーザのサービス選択につながるような枠組みを検討する。

②リスクをユーザに周知する仕組みの整備

課題Ⅱを解決するため、ユーザが利用するサービス内容に併せてリスク情報を把握できるような仕組みを検討する。

③相談窓口の整備・周知

課題Ⅲを解決するため、情報セキュリティのトラブルに関する問い合わせ・対応窓口を整理したうえでユーザがどこに連絡すべきかの認知を促す。

④普及啓発に関する効果測定の仕組みの整備

課題Ⅳを解決するため、ユーザの情報セキュリティに関する認知度を定期的に把握・評価する仕組みを検討する。

(39)

① 業界団体

（政府機関）

企業全般 _{情報セキュリ}

ティ対策の取り組みアピール機会の向上

情報セキュリティ認知度の向上

ユーザＩＳＰ事業者/携帯キャリア

/ＥＣ(ポータルサイト運営者等）

セキュアな環境でのサービス提供

ＥＣサイト

！

利用者が判断できるリスクと利便性の情報提供ＥＣサイト

ネットワーク

②

セキュアな環境でのインターネットの利用

⑨効果測定の仕組みの

構築による認知度の

把握 ③④

利便性とリスクを認識した上でＩＴサービスを利用

①：企業全般向け基盤構築の方策

企業が情報セキュリティの取り組みとして、何をどこまで実施すればよいかを判断するための指針が求められる。指針は、企業が提供するサービスの品質表示と連動する内容を考慮することが望ましい。

また、指針はある程度の厳格化、強制力を伴うことが必要であると考える。しかし、厳格化する項目は全てではなく、任意対応が適当である項目とのバランスを意識した構成とすることが望ましい。

また認証機関が指針の適合性を客観的に評価する枠組みを設計することが望ましい。その際の認証取得は、初期認証と継続認証の段階に分け、継続した対応を評価する仕組みとすることで、企業における取り組みの促進が期待できる。

上記を踏まえて、業界団体が、会員企業に対して、最低限取り組むべき情報セキュリティ対策に関する指針を表明するとともに、企業の取り組み成果を評価する表彰制度等の創設も併せて検討する。

(40)

②：IT サービス事業者向け基盤構築の方策

IT サービス企業に対しては、サービス提供の際に、ユーザにリスクに関する情報提供させ、万人が理解可能な記載によるリスク喚起が行われる仕組みが望まれる。

上記を踏まえて IT サービスに関する業界団体は、会員企業に対して、ユーザがコンテンツやサービス利用の際に、自社コンテンツやサービス上に内在する情報セキュリティリスク内容を明示させるような取り組みを行う。

③：相談窓口に関する基盤構築の方策

政府機関は、情報セキュリティトラブル発生時におけるユーザの問合せ先を明確にするため、受付窓口を整備するとともに、当該窓口のユーザ認知度を向上する周知策に取り組む。

④：普及啓発の効果測定に関する基盤構築の方策

政府機関は、情報セキュリティの認知度の測定方法を検討し、認知度の把握・評価に取り組む。

(41)

2.4.2. 今後検討すべき課題

本検討では、以下の課題について、引き続き検討が必要であることが確認された。

①サービスのグローバル化を念頭においた情報セキュリティ対策に関する国際連携の必要性

海外を拠点とした日本向けサービスの普及に伴い、フィッシングサイトや法的に不適切なサイトの閉鎖処理等への対応が求められる事例が増えている。しかし、海外のサービスではサイト自体が海外のドメインであるため、日本国内の情報セキュリティ対策の効果が及ばないとして、新たな脅威と懸念される。このような脅威に対しては、国内の業界団体の管轄を超えることが多いため、政府の主導による国際連携が今後必要になると考えられる。

②デジタル・ネイティブ世代

³³

の価値観を考慮に入れた情報セキュリティの取り組み

物ごころついた頃から IT 機器に触れて育ったデジタル・ネイティブ世代は、これまでの世代とは情報に対する価値観が異なっている。彼らは、ネットワーク上で匿名ではなく、実名で使うサービスの利用や、

身の回りの情報をインターネットへ掲載することへの抵抗も少ない。

このような価値観では、自分の個人情報や勤務先で得た情報の SNS 等への掲載が自然と行われてしまう。その結果、情報漏えいや他人のプライバシーの侵害につながる懸念がある。

このような状況を踏まえ、情報セキュリティの普及啓発においては、

デジタル・ネイティブ世代の価値観を考慮に入れたうえでの情報モラルの在り方も併せて検討することが必要となる。

(42)

3. 情報セキュリティ人材の育成・確保方策

3.1. 情報セキュリティ人材の必要性

本節では情報セキュリティ人材の必要性について、情報活用と社会環境の観点から整理する。

3.1.1. 情報活用と情報セキュリティ

今日、企業活動においては、膨大なデータを分析・処理してビジネスに還元する情報活用が IT の利用によって効率的・効果的に行われているかつ、社会活動のあらゆる場面で情報が活用されるようになった。これらの情報活用には、

情報を取り扱う以上、必ず情報セキュリティのリスクが伴っている。そのため、

例えば、電子化された大規模な名簿がインターネット上に流出した場合の甚大な被害のように、情報活用に関係する情報セキュリティのリスクの顕在化は、

これまで以上に広範囲かつ拡大する傾向にある。

また、情報活用に内在するリスクに対して適切に対処するためには、情報活用と情報セキュリティは不可分な関係となっている。

高度情報活用社会への進展に伴い、今日では、情報セキュリティリスクへの対応が様々な場所で求められるようになっている。したがって、情報活用をするうえでは、その情報セキュリティを担う人材が必要になってくる。

3.1.2. 社会環境と情報セキュリティ

社会環境によって、情報セキュリティ対策に対する認識が異なる。

欧米、特に米国では訴訟社会であるため、企業を取り巻く様々なリスク顕在化の負の影響が大きく、経営者がリスクに対して認識しやすい過敏な環境にあることが多い。このため経営者がリスクマネジメントに対して、比較的多くの経営資源を投入する傾向にある。

一方、我が国では米国ほどの訴訟社会ではないことから、情報セキュリティリスクの顕在化による負の影響を、企業を取り巻く他のリスクと比較して重大と認識しにくい。また、情報セキュリティに関する法制度の整備は進みつつあるが、コンプライアンスの対象としてはまだ認識されにくい環境にある。これらの状況を背景として、情報セキュリティ対策の商品やサービスの需要も欧米

(43)

このことから我が国は情報セキュリティ人材のニーズが認識されにくい社会環境を背景として、情報セキュリティ分野に特化した人材は職業として成立しにくい傾向にある。

加えて、情報セキュリティ人材の必要性は雇用制度の影響も受けている。具体的には、米国では職業ポストを募集する雇用制度であるため、資格や専門性を基準として、様々な種類の専門人材が職能集団として流動化する社会環境である。その一つである情報セキュリティについても、専門性を活かした職業ポストが存在するため、情報セキュリティ人材が職業として成立している。

一方、我が国では終身雇用制度を採用する企業が大半であるため、資格や専門性という観点では、人材が流動化しにくい社会環境である。そのため、情報セキュリティ人材という専門職が成立しにくいと考えられる。

このような我が国の雇用環境を考慮すると、一人の人材が全てのリスクに対応できる情報セキュリティのスペシャリストを育成するというよりも、特定の分野ではなく複数の分野においてある一定以上の知識や技術を持ち、高度に専門的な問題はスペシャリストに相談できるようなゼネラリスト的な企業人材を育成するなかで、情報セキュリティの知識を習得させるということが求められる。

したがって、我が国で求められる情報セキュリティ知識の特徴としては、特定の分野に閉じるのではなく、複数の分野を視野に入れた全域性ある情報セキュリティ知識領域

³⁴

であると考えられる。

34

例えば、Web マーケティングで発生したインシデントに対応するためには、マーケティング部門と IT 部門の連携だけではなく、法務部門やカスタマー部門と連携しながら対応を行う必要がある等、情報セキュリティリスクは特定の業務内でのみに閉じた形で発生するわけではない。インシデント対応では、自身の

(44)

3.2. 情報セキュリティ人材の育成状況

本節では、前節の我が国において情報セキュリティ人材の必要性の議論を受けて、国内外の情報セキュリティ人材に対する育成の取り組みを概観する。

3.2.1. 日本の状況

（1）政府施策

政府は情報セキュリティ人材の育成に関して政府職員向け、企業における人材向け及び個人向けに以下の取り組みを行っている。

①政府職員向け政府施策（括弧内は取り組み主体）

・一般職員、幹部職員及び情報セキュリティ対策担当職員に対する統一的な教育プログラムに基づいた教育（内閣官房、人事院、総務省及び全府省庁）

・政府職員に対する採用時の合同研究（内閣官房、人事院、総務省及び全府省庁）

・地方公共団体職員に対するｅラーニングによる情報セキュリティ教育（総務省）

②企業における人材向け政府施策（括弧内は取り組み主体）

・中小企業に指導する立場にある者及び地域の中小企業等に対するセミナーの開催（経済産業省）

・監査分野等の情報セキュリティ専門家育成（経済産業省）

・情報セキュリティ人材を含めた高度 IT 人材の育成（経済産業省及び文部科学省）

③個人向け政府施策（括弧内は取り組み主体）

・ユーザの身の回りにおいて詳しい人として位置づけられる情報セキュリティサポーターを育成するための教材の作成や講習会・認定試験の開催等を支援（総務省）

・教育機関関係者、地方公共団体職員、インターネット一般ユーザ等を対象とした情報セキュリティに関する講習の実施（警察庁）

・若年層に対するセキュリティ意識の向上と優れたセキュリティ人材の発掘と育成をはかるための講義等の実施（経済産業省）

(45)

（2）民間施策

民間では様々な事業者や大学等が情報セキュリティ人材の育成に関して以下の取り組みを行っている。

①高度情報セキュリティ人材向け民間施策

・産学連携した事業者等による育成推進プログラムの実施

・情報セキュリティに関する専門家育成コースによる人材育成の実施

②ユーザ向け民間施策

・情報セキュリティや情報モラルを啓発するセミナーの実施

・情報セキュリティに関する最新動向や最新テーマに関する講演等の実施

・ユーザの身の回りにいる詳しい人として位置づけられる情報セキュリティサポーターを育成するための教材の作成や講習会・認定試験の開催等を実施

③若年層向け民間施策

・情報セキュリティ等に関する知識と技術を学ぶ合宿形式による育成の実施

株式会社 NTT データ経営研究所

平成 22 年度 情報セキュリティに係る人材育成・確保 及び普及啓発に関する調査・検討

報告書

2011 年3月

株式会社 NTT データ経営研究所

目次

I.

I.I.

I.II.

I.III.

1. 本調査・検討の背景と目的 1.1. 背景





1.2. 目的

2. 情報セキュリティの普及啓発の在り方及び方策 2.1. 情報セキュリティの普及啓発の意義

2.2. 情報セキュリティの普及啓発状況

1

2

3

テレワーク導入の進展

4

インターネット利用端末の多様化

5

6

7

8

9

10

マルウェア/スパイウェア

ボット

ワンクリック不正請求

フィッシング詐欺

不正アクセス

標的型攻撃

偽セキュリティ対策ソフト

うっかり情報漏洩

11

12

13

14

15

情報セキュリティ対策の必要性

情報セキュリティ対策の必要性

16

17

18







19



 保護者が家庭で子供とともに勉強できるセルフアセスメントシートの提供



20

21

22

23

24

19

20

21

25

26

27

28

25

2.3. 情報セキュリティの普及啓発の現状及び課題の抽出









2.4. 情報セキュリティの普及啓発の課題への解決策の提案

 学校教師に対する IT リテラシー・知識向上

29

 教育関係者に対する情報セキュリティ教育の重要性認知向上

 保護者に対する情報発信

30





 普遍的な内容の情報発信

平成 22 年度情報セキュリティに係る人材育成・確保及び普及啓発に関する調査・検討

¹

²

³

⁴

⁵

⁶

⁷

⁸

⁹

¹⁰

¹¹

¹²

¹³

¹⁴

¹⁵

¹⁶

¹⁷

¹⁸

¹⁹

²⁰

²¹

²²

²³

²⁴

²⁵

²⁶

²⁷

²⁸

²⁹

³⁰

³¹

³²

³³

³⁴