【高松市】職員研修で情報セキュリティを強化（情報セキュリティ対策の事例）

自治体による技術的な情報セキュリティ対策は相当に進んだが、人的なセキュリティリスクへの対策は立ち遅れがち。そんななか、高松市(香川県)では、集合研修、eラーニング、標的型メール攻撃の実習の３つを組み合わせた職員研修を実施した。その背景や効果を、市長の大西氏と情報政策課 課長の外村氏に聞いた。

※下記は自治体通信 Vol.10（2017年10月号）から抜粋し、記事は取材時のものです。

―平成28年４月、「G7香川・高松情報通信大臣会合」が開催されました。市の情報セキュリティに対する姿勢に影響はありましたか。

大西：職員の意識が高まりました。G7では21年ぶり、日本では初の会合の開催地となり、会合の成果としての文書には「Takamatsu」の名が記された。「そんな都市で、情報セキュリティ上の問題を起こすわけにはいかない」と。

―意識が高まるなか、集合研修、eラーニング、標的型メール攻撃の実習の3つを組み合わせた職員研修を実施したそうですね。

大西：ええ。当市では平成12年ごろから、情報セキュリティ対策について、システム面と運用面の対策を可能な限り進めてきました。しかし、システムがすべての危険を回避してくれるわけではない。人の行動が危険を招くことも。そこで職員の情報セキュリティ対応スキルを向上させる取り組みが必要と判断しました。

―研修の内容を教えてください。

外村：集合研修は部署ごとの情報セキュリティ管理者と、情報システム担当者それぞれ約100人を対象に、半日かけて実施。内容は、市の情報セキュリティポリシーの解説や、標的型メール攻撃のデモンストレーションなどです。

eラーニングは約4700人の全職員が対象。テスト形式で情報セキュリティの基礎的な知識を習得できるカリキュラムです。そして標的型メール攻撃の実習は、職員個々の業務のメールアドレスに、実際のものを模した標的型メールを事前予告なしに送るもので、添付ファイルを開封したらアウト。これも全職員を対象に実施しました。

―現段階での研修の効果をどう評価していますか。

大西：非常に効果がありました。知識を深められる集合研修は管理者、基礎的なことを学習するeラーニングと実習は全職員と、実施対象をわけたことで、職員が日常業務を離れる時間を最小にしつつ、全職員に研修を実施できた。組織としての情報セキュリティ対応スキルを向上できました。

―職員の行動が変化したエピソードを聞かせてください。

外村：情報政策課への電話が増えました。「タイトルが空白になっている」など、不審なメールを受信すると、開封せずにいったん情報政策課に問い合わせる行動様式が根づきつつあります。

―今後、市の情報セキュリティ対策をどう強化していきますか。

大西：各局長からなるICT推進会議をもうけ、G7会合の合意事項である「情報の自由な流通とサイバーセキュリティ、相反するものを同時に進めていく」を本市でも実行していきます。

職員研修については、今後も継続します。標的型メール攻撃の実習の成績は、第1回目はさんたんたるものだったのですが、繰り返して実施するうちに「開封せず」が100％に近づきました。また、そうした成果を外部の専門家に監査してもらう仕組みをつくることも検討しています。依頼した民間企業にも、そうした専門家の役割を期待したいですね。