内部統制の評価、今年も去年と同じチェックリストを埋めるだけで終わっていませんか?
「従業員教育がマンネリ化し、やらされ感が出ている」
「なぜこのルールが必要なのか、うまく説明できず社内の理解を得られない」
2023年4月に金融庁が内部統制報告制度(J-SOX)の改訂に関する意見書を公表しました。サイバーセキュリティリスクの高まりなどを踏まえ、ITを利用した統制の重要性は増しているものの、現場の情報セキュリティ担当者や教育担当者の方々からは、切実な悩みが聞こえてきます。
この記事では、経済産業省の「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」などの公式ドキュメントに基づき、単なる形式的な評価で終わらせない、実効性のあるセキュリティ体制を築くための具体的なステップを、教育担当者の視点から徹底解説します。
定番の事例から最新トピックまで、サイバーリスク対策を短時間で学べる! ⇒ ライトワークスの情報セキュリティ研修を詳しく見る
情報セキュリティ教育とは、情報資産を守るため従業員の行動を変える取組みです。この記事では、形骸化した研修を見直し、「やら…
AIで要約
- 内部統制とは、企業の健全な運営を守るためのルールであり、情報セキュリティ教育はその根幹を支える重要な役割を担います。
- 監査で問われる「IT全般統制」の知識は、研修の説得力を高める武器になります。開発・運用・アクセス管理・外部委託という4つのポイントを押さえ、ルールの背景を伝えましょう。
- 役割別のメッセージや効果的な研修手法(標的型メール訓練、eラーニング等)で従業員の行動変容を促し、その成果を具体的な数値(KPI)で可視化することが重要です。
【超入門】3分で分かる内部統制と情報セキュリティ教育の関係
この章では、複雑に思える「内部統制」をシンプルに解き明かし、情報セキュリティ教育がその中でいかに重要な役割を担っているのかを解説します。
内部統制とは「会社の信頼を守る仕組み」
内部統制とは、一言でいえば「企業が事業活動を健全かつ効率的に運営するための社内ルールや仕組み」のことです。金融庁は、その目的を4つ定めています。1
- 業務の有効性及び効率性:事業活動の目的の達成のため、仕事を無駄なく、効果的に進める
- 報告の信頼性:決算書などの情報が信頼できること(J-SOX:内部統制報告制度の主要な目的)
- 法令等の遵守:法律や社会のルールを守る(コンプライアンス)
- 資産の保全:正当な手続及び承認の下に、会社の資産(お金、設備、そして情報)の取得、使用及び処分を行う
そして、これらの目的を達成するために、6つの基本的要素が求められます。
- 統制環境:組織の誠実さや倫理観など、組織全体の雰囲気
- リスクの評価と対応:会社にとってのリスクを把握し、対策を打つこと
- 統制活動:ルールが守られるための具体的な手続き(権限分掌など)
- 情報と伝達:必要な情報が、必要な人に、正しく伝わること
- モニタリング:ルールが守られているか、継続的に監視すること
- ITへの対応:業務に不可欠なITを、適切に利用し、管理すること
情報セキュリティ教育は、この中で特に「統制環境」「ITへの対応」という土台の部分を支え、会社の信頼性を根幹から守る重要な役割を担っているのです。
教育担当者は内部統制の「土台」を築いている
では、具体的に情報セキュリティ担当者や教育担当者の業務は、内部統制のどこに関わっているのでしょうか。
| 内部統制の要素 | 担当者の役割と業務 |
| ITへの対応 | 【情報セキュリティ担当】ITシステムを安全に運用する技術的な仕組み(IT全般統制)を構築・運用します。IT環境の健全性が全体統制の基盤となります。 |
| 統制環境 | 【教育担当】従業員一人ひとりのセキュリティ意識を高めることで、誠実で倫理観の高い組織風土、すなわち良好な「統制環境」を醸成します。 |
| 統制活動 | 【情報セキュリティ担当】アクセス制御やログ管理といった具体的なセキュリティ対策は、情報資産を守るための重要な「統制活動」そのものです。 |
| 情報と伝達 | 【教育担当】個人情報保護法などで求められる「人的安全管理措置」として、従業員への定期的な教育を実施し、ルールを正しく伝達する責任を負います。 |
| モニタリング | 【両担当者】ログの監視や標的型メール訓練の結果分析を通じて、ルールが守られているか、新たな脅威はないかを継続的に監視(モニタリング)します。 |
このように、技術的な対策と教育は、内部統制という車の両輪であり、どちらが欠けても会社の信頼を守ることはできません。
定番の事例から最新トピックまで、サイバーリスク対策を短時間で学べる! ⇒ ライトワークスの情報セキュリティ研修を詳しく見る
研修の説得力を劇的に高める「IT全般統制」の知識
「なぜ自分のIDとパスワードを使い回してはいけないの?」
「なぜ退職者のアカウントをすぐに削除する必要があるの?」
従業員からこのような質問を受けたとき、あなたはどう答えていますか?「ルールだから」では、人の心は動きません。研修の説得力を高める武器、それが「ITの統制」の知識です。
ITの統制とは、簡単に言えば「ITを取り入れた情報システムが正しく、安全に使われるためのルールと仕組み」です。これは、以下の2つのレベルに分かれています。
IT全般統制(ITGC)
IT全般統制(ITGC: Information Technology General Controls)とは、業務で使う様々なITシステムが、安全に動くための土台となる共通のルールや仕組みのことです。家の「基礎工事」や「警備システム」に例えられます。
監査では、このIT全般統制(ITGC)が正しく機能しているかが厳しくチェックされます。教育担当者がこの知識を持つことで、「なぜこのルールが必要なのか」を技術的・制度的な背景と共に説明でき、研修の納得度を飛躍的に高めることができるのです。
IT業務処理統制(ITAC)
IT業務処理統制(ITAC:Information Technology Application Control)とは、個別のアプリケーションが正しくデータを処理するための統制のことです。家の「部屋の鍵」のようなものです。
重要なのは、IT全般統制(ITGC)が有効でなければ、IT業務処理統制(ITAC)の信頼性も保証されないという点です。家の基礎工事がグラグラでは、どんなに立派な部屋も意味がありません。そのため、監査や内部統制の評価では、まずIT全般統制(ITGC)の有効性が確認されます。
研修に活かせる!IT全般統制の4つのポイント
IT全般統制は、主に以下の4つの活動から成り立っています。セキュリティ部門が日々行っているこれらの活動を理解し、研修コンテンツに活かしましょう。
システムの開発・保守
セキュリティ部門は、新しいシステムを導入したり、既存のシステムを修正したりする際に、安全な手順でテストを経て行われるように管理しています。
教育へのヒント:開発部門向けの研修で、「なぜセキュアコーディングが必要か」を説明する際、「皆さんが作るシステムに脆弱性があれば、会社の防御壁に穴を開けることになります。セキュアな開発は、内部統制上の公式なルールです」と伝えることで、重要性を強調できます。
システムの運用・管理
セキュリティ部門は、システムが日々安定稼働するよう、バックアップを取ったり、障害に備えたりしています。
教育へのヒント:全従業員にシステム障害発生時の報告手順などを教育する際、「システム障害が起きた際の迅速な報告は、会社の事業を守るための重要なIT統制の一部です。皆さんの協力が不可欠です」と伝え、エスカレーションの理解を深めましょう。
内外からのアクセス管理
これがITGCの最重要領域です。セキュリティ部門は、IDの発行・削除、誰がどの情報にアクセスできるかの権限管理、不正アクセスの監視などを行っています。
教育へのヒント:「退職者のアカウントを即時削除するのは、不要な侵入口を塞ぐためです」「自分のIDを貸し借りしないのは、誰が何をしたか記録し、皆さん自身を守るためでもあるのです」というように、会社のルールとアクセス管理との関係を解説しましょう。
また、定期的な「アクセス権限の棚卸し」に協力するよう従業員に依頼する際、その目的が内部統制の強化であることを明確に伝えられます。
外部委託先の管理
セキュリティ部門は、クラウドサービスなど、外部の事業者を利用する際に、その委託先が安全かどうかを評価・管理しています。
教育へのヒント:従業員が新しいクラウドサービスを安易に利用することのリスクを説明する際、「会社が許可していないクラウドサービスを個人で使うと、会社全体の情報を危険に晒す可能性があります。会社として安全性を確認したサービスだけを利用しましょう」と指導できます。
なぜ「記録」が重要なのか? 監査官は「証拠」を見たがっている
監査の世界では「やったこと」だけでなく、やったことを証明する記録(証跡)が全てです。セキュリティ部門がアクセスログや承認記録を厳格に管理しているのはこのためです。
これは教育担当者も同じです。研修の実施記録(受講者リスト、理解度テストの結果など)をきちんと保管することは、会社が従業員に対して適切に教育(人的安全管理措置)を行っていることを示す、監査における極めて重要な証拠となります。2
経営層を動かす「内部統制」の視点
セキュリティ対策や教育プログラムの予算を確保する際は、「内部統制の強化」と「経営責任」という視点が欠かせません。
経営者の責任
内部統制の最終責任は経営者にあります。対策の不備は、経営責任問題に直結します。
ガイドライン
経済産業省の「サイバーセキュリティ経営ガイドライン」は、企業戦略としてITに対する投資判断を行う経営者向けの参考書です。セキュリティ対策は経営者としての責務であることや、具体的な対策例として、技術的対策と教育の両方が不可欠であると明記されています。
参考)経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
他社のインシデント事例
実際に起きた他社の事例を提示し、「技術対策だけでは防げない脅威があり、だからこそ教育への投資が必要です」と、人的対策の重要性を強調できます。
参考)内閣官房内閣サイバーセキュリティセンター(NISC)「サイバー攻撃を受けた組織における対応事例集(実事例における学びと気づきに関する調査研究)」
明日から使える!行動変容を促す情報セキュリティ教育の実践ガイド
教育担当者のミッションは、従業員一人ひとりの意識と行動を変え、組織全体の「統制環境」を良好に保つことです。ここからは、従業員の「やらされ感」をなくし、具体的な行動変容を促すための実践的な教育手法を紹介します。
響くメッセージは相手で変える!役割別アプローチ
全従業員に一律で同じ内容を伝えても、心には響きません。「自分ごと」として捉えてもらうために、役割に応じてメッセージを変えましょう。
全従業員向けのメッセージ
「あなたのうっかりが、会社の資産を危険に晒し、顧客の信頼を失うことに繋がります(資産の保全、報告の信頼性)」
教育内容:フィッシングメールの見分け方やパスワード管理の重要性を、具体的な事故事例と共に伝えましょう。
管理職向けのメッセージ
「部下の行動を監督し、安全な職場環境を作ることは、管理職としての重要なリスクマネジメントです(統制環境、リスク評価)」
教育内容:PCの利用状況の監督責任、インシデント発生時の報告義務などを教育します。
IT・開発部門向けのメッセージ
「皆さんが作るシステムに脆弱性があれば、会社の防御壁に穴を開けることになります(ITへの対応)」
教育内容:内部統制の要請として、セキュアコーディングや厳格なテストの重要性を徹底しましょう。
行動変容を促す具体的な教育手法
従業員の情報セキュリティへの意識を変え、行動を変えるには、実効性の高い教育手法が必要です。当社の情報セキュリティ研修のうち、特におすすめの手法を3つ紹介します。
標的型攻撃メール訓練
標的型攻撃メールとは、情報窃取を目的として特定の組織に送られるウイルスメールのこと。訓練では、ウイルスメールを模した訓練メールを送信して疑似体験させたり、開封率をチェックして組織の耐性を測ったりします。
ポイントは、訓練メールをクリックした人を罰するのではなく、その場で学べる教育コンテンツに誘導すること。年に複数回、内容を変えて継続的に実施しましょう。
eラーニング
アニメーションやクイズなどを活用し、「楽しさ」と「疑似体験の恐怖」を組み合わせることで、情報セキュリティの基礎知識記憶に定着させます。多忙な従業員でも、自分のペースで学べる点がメリットです。
受講者を飽きさせない!アニメーションで楽しく学ぶ ⇒ eラーニング教材「情報セキュリティ研修」を詳しく見る
継続的なセキュリティ意識のリマインド
研修はやりっぱなしでは意味がありません。ポスターの掲示や社内報での注意喚起など、日常的にセキュリティ情報に触れる機会を作り、意識を風化させないことが重要です。
研修効果を「組織のリスク低減」として経営層に報告する方法
セキュリティ研修の成果を経営層に報告する際は、「受講率100%でした」だけでは不十分です。研修が、いかにして内部統制の強化(=リスクの低減)に貢献したかを、具体的な数値(KPI)で示しましょう。
KPIの例
- 標的型メール訓練における開封率・クリック率の低下
- 従業員による不審メールの報告件数の増加
- 研修後の理解度テストの平均スコアの向上
- パスワードリセット依頼など、セキュリティ関連のヘルプデスク問い合わせ件数の減少
これらのデータを提示することで、教育活動が単なるコストではなく、企業の信頼性を守るための重要な「投資」であることを証明できます。
セキュリティ担当と教育担当の連携術
これまで見てきたように、情報セキュリティ担当者が築く「技術的な防護」と、教育担当者が育てる「人的な防護」は、どちらが欠けても意味がありません。両者の連携によって更に情報セキュリティ体制を強固なものにしていきましょう。
情報共有の仕組みを作る
定期的にミーティングの場を設け、インシデント情報や標的型メール訓練の結果、内部統制評価で指摘されたIT関連の不備などを共有しましょう。
共同で施策を立案する
「最近、経理部を狙った不審メールが増えている」という情報があれば、セキュリティ担当者は経理部のシステムの監視を強化し、教育担当者は経理部向けの特別研修を実施するといった連携が可能です。
このような連携が、変化し続ける脅威に対応できる、しなやかで強靭な内部統制体制を築く鍵となります。
定番の事例から最新トピックまで、サイバーリスク対策を短時間で学べる! ⇒ ライトワークスの情報セキュリティ研修を詳しく見る
まとめ
本記事でお伝えした、実効性の高い情報セキュリティ教育を実践するためのポイントを改めて整理します。
内部統制の基本を理解する
セキュリティ教育は、企業の信頼を守る内部統制の土台(特に「統制環境」と「ITへの対応」)を築く重要な役割を担っています。
IT全般統制を武器にする
「開発・保守」「運用・管理」「アクセス管理」「外部委託」というITGCの4つの視点を持つことで、ルールの背景を具体的に説明でき、研修の説得力が増します。監査で通用する「記録」の意識も重要です。
行動変容を促す教育を実践する
従業員の役割に応じたメッセージを伝え、標的型メール訓練やeラーニングといった手法を組み合わせ、その成果をKPIで可視化することで、教育をコストでなく「投資」として位置づけられます。
部門を超えて連携する
技術的な防壁(セキュリティ部門)と人的な防壁(教育部門)は車の両輪です。定期的な情報共有と連携が、実効性のあるセキュリティ体制の鍵となります。
本ガイドが、その重要な役割を担う皆様の、日々の業務を推進するための一助となれば幸いです。
- 金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」,2023年4月7日公表, (閲覧日:2025年7月18日) ↩︎
- 金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」,2023年4月7日公表, (閲覧日:2025年7月18日) ↩︎
参考)
経済産業省「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」,2024年12月25日公表,https://www.meti.go.jp/policy/netsecurity/docs/secgov/2024_ZaimuHoukokuNiKakaruITTouseiGuidance.pdf(閲覧日:2025年8月25日)
独立行政法人情報処理推進機構(IPA)「標的型攻撃/新しいタイプの攻撃の 実態と対策」, https://www.ipa.go.jp/security/j-csip/ug65p9000000nkvm-att/000024542.pdf(閲覧日:2025年8月25日)
