岩手大学の全ての常勤教職員を対象とした情報セキュリティセミナーとその効果

抄録

情報セキュリティ対策の強化が社会から強く求められている．岩手大学（以下本学）においても，情報セキュリティレベル向上のための対策の一つである教職員への利用者教育を強化した．ここで，学生は入学時のセミナー受講を必須としており，何らかの理由により受講ができない数名以外はすべて受講している．これに対し教職員に対するセミナーは受講率も毎年度数パーセント程度であり，受講率を引き上げる必要があった．

本稿では，PC等の利用者である岩手大学教職員の情報セキュリティレベルの向上を目的として取り組んだ総合的な対策について記す．これらの対策の中で，教職員が受講対象の情報セキュリティセミナーは，平成27年度までは受講率が非常に低調（数％程度）であったことをふまえ，受講を必須とした上で実施回数を大幅に増やすと共に遠隔地の拠点での出張セミナーを実施した．セミナーは基本編と電子メール編の二種類とした．セミナーの実施時間の関係から，教員の受講範囲は基本編だけ，教諭・事務職員・技術職員の受講範囲は基本編および電子メール編とした．さらに，未受講者には，基本編および電子メール編それぞれについて，オンライン上の録画コンテンツおよび問題を解くことを課した．受講範囲は、教員は基本編相当部分，教諭・事務職員・技術職員は基本編および電子メール編相当部分が該当する．これらの結果，平成28年度のセミナー受講率を，セミナーの受講およびフォローアップを含めて92.3%に引き上げることができた．

情報セキュリティセミナーの効果を，情報セキュリティ対策の一環として本学の標的型攻撃への対応力を高める目的で実施した標的型攻撃メール訓練の結果を用いて検証した．訓練の実施は複数の手段で学内に周知した．周知では，標的型攻撃メールの特徴と，気になる事象がある場合は岩手大学CSIRT（Computer Security Incident Response Team）へ連絡するように記載した．訓練メールに記載されたURLの閲覧とセミナー受講の関係について統計的な検定を行った結果，電子メール編セミナーの受講との関係は検定上有意であり，情報セキュリティセミナーによる情報セキュリティ対策には効果があることが示された．