新入社員や中途社員の入社に合わせて、情報セキュリティ研修を実施している企業は多いのではないでしょうか。特に社会人経験の浅い新卒社員は、セキュリティの「弱点」として攻撃者の標的になりやすい傾向があります。しかし、「情報セキュリティ」とひとことで言っても、デバイス、ソフトウェア、情報の取り扱い、操作ミス、サイバー攻撃、セキュリティツール、ネットワークなど、リスクは様々なところに幅広く存在します。網羅しようとするといくら時間があっても足りません。
ここでは、新入社員向けの情報セキュリティ教育に盛り込むべき内容と効果的な方法について解説します。

新卒社員向けのセキュリティ研修に入れるべき内容

基本的な知識と、新入社員にありがちなテーマに絞って、具体的な例を紹介することをお勧めします。なぜそうする必要があるのか、しなかった場合にどのようなリスクがあるのか、を合わせて伝えることが効果的です。
具体的には、以下の6つのテーマをお勧めします。

情報セキュリティとは何か？機密情報とは何か？

情報の機密性、完全性、可用性の3要素や、ビジネスにおいて不可欠である理由などの基本的な知識を学びます。また、新入社員の場合は何が「機密情報」なのか？を理解しておらず、意図せず社外に流出させてしまうケースがあります。

例えば、会議の議事録や手順書、アンケート結果など、個人情報などが入っていないからと社外からアクセスできる場所に置いたり、社外の人に話すなどして漏えいさせてしまうケースがあります。何が機密情報なのか？それが漏れるとどのようなリスクを引き起こす可能性があるのか？を合わせて解説することが有効です。

デバイスやデータの持ち運び

ノートパソコンやスマートフォンを一人1台ずつ支給している企業も多いでしょう。紛失したりのぞき見されるケースに備えて、ログオン時のセキュリティや多要素認証など、ルールを徹底するように伝えましょう。大切な情報はできるだけパソコンに保存しない、外で仕事をすることがある場合、画面ロックなど細かいことも注意喚起する必要があります。

また、USBメモリなどの外部メモリを使っているケースもあるかと思います。会社支給のUSBメモリなどを使う、暗号化を徹底する、などの対策を伝えましょう。

メールやチャットでの情報の扱い方、誤送信対策

東京商工サーチによる調査「 2023年「上場企業の個人情報漏えい・紛失事故」調査 」によると、2023年の主な個人情報漏えい・紛失事故の原因の第2位に「誤表示・誤送信」が挙げられています。

誤送信で多いのは、次の3つです。

宛先のミス

個人情報を含む顧客リストを社内に共有するつもりで、宛先を誤って外部の取引先に送ってしまった、などのケースです。メールアドレスの入力ミスや、検索によって出された候補の選択間違いなどもよくあるケースです。

添付ファイルの誤送信

顧客に資料を送る際に、誤って内部の機密情報が含まれるファイルを送ってしまった、別の顧客宛の請求書を送ってしまった、などが挙げられます。

BCC送信のミス

メールの一斉送信の際、本来BCCで送信すべきところをTOやCCで送付してしまうパターンです。受信者全員のメールアドレスが見られる状態になります。

送信前の確認の徹底や、確認機能があれば設定するなどを新入社員の時点で徹底することで、習慣となりリスクを低減できます。
クラウドストレージなどの利用を社内で推進しているようであれば、方法を徹底することも必要です。

ウイルス感染の防止

前述の「 2023年「上場企業の個人情報漏えい・紛失事故」調査 」によると、2023年の情報漏えい・紛失事故のうち「ウイルス感染・不正アクセス」を原因としたものが最も多く半数以上を占めています。ウイルスに感染すると、個人情報や機密情報が流出したり、踏み台にされて社内や取引先が攻撃される恐れがあります。

主に以下の内容を喚起しましょう。

不審なメールに注意する

フィッシングやビジネスメール詐欺の存在と、その被害の大きさを伝えましょう。スパムなどは新入社員でも見慣れているかもしれませんが、組織を狙う標的型攻撃メールの情報にはこれまで触れていない可能性があります。怪しいメールの特徴などの見破り方や、不要にリンクをクリックしたり添付ファイルを開かないことなども指導するのがよいでしょう。

信頼できないUSBメモリや外部記憶媒体の使用を避ける

簡単にデータを持ち運べる便利なものですが、記憶媒体がウイルスの感染源となりえることを伝え、禁止事項を徹底しましょう。

怪しいWebサイトを閲覧しない

悪意のあるサイトの閲覧でマルウェアに感染したり、情報を搾取される可能性があることを伝えましょう。不審なメールから誘導されることもあります。

不審なソフトウェアをインストールしない

便利そうなソフトウェア、と思ってインストールしたものが、実は悪意のあるプログラムである可能性があります。

OS、ソフトウェアの更新を徹底する

パソコンのOSやインストールされているソフトウェア、ブラウザなどを常に最新のバージョンに保つことが大切です。更新プログラムには、セキュリティ脆弱性を修正するパッチが含まれています。

認証情報の設定・管理

ビジネスプラットフォームや重要な情報を取り扱うクラウドサービスには、多要素認証などセキュリティを高める機能がついている場合があります。

会社の方針に従って、かならず認証を設定すること、しない場合にどんなリスクがあるか、等を伝えましょう。
総当たり攻撃（ブルートフォースアタック）や、偽のフォームに誘導して認証情報を入力させるなどの様々な手口を紹介することで、社員が自身で考えてリスクを低減できるようになります。

万が一の場合の報告

怪しいメールが届いた、URLをクリックしてしまった、パソコンがウイルス感染した可能性がある、誤って情報を流出させてしまった、などの場合には、即座に報告するように伝えましょう。ミスや悪いことを報告するには腰が重いものですが、早い報告がいかに大事か、最低限の被害に抑えることができるか、をしっかり認識してもらい、報告の文化を醸成しましょう。

まとめ

限られた研修時間の中で、セキュリティ研修はどこまでやるべきなのか？何を伝えるのが効果的なのか？担当者としては悩みどころかと思います。インプットが多い研修期間でたくさんの情報を詰め込んでも、身近ではない部分はなかなか頭に入らないことも懸念されます。

新卒が起こしやすいインシデント、を中心にリスクと対策、事例を交えながらポイントを絞って研修することをお勧めします。

Selphishで行う新卒向けの攻撃メール訓練

Selphishは、標的型攻撃メール訓練サービスです。ご紹介した「 2023年「上場企業の個人情報漏えい・紛失事故」調査 」の原因で最も多かった、「ウイルス感染・不正アクセス」の対策としてご活用いただくものです。
Selphishでは、社員に対してリアルな状況で疑似攻撃メールを受け取り、実際に対応することで、攻撃の手口を理解し、回避するスキルを身につけることができます。

新卒向けの研修では、この訓練メールを体験し、どこが怪しいか？をディスカッションしたり、開封したことを想定した報告を実践するなどにもご活用いただけます。

ぜひSelphishを使った訓練形式の研修を、取り入れてみてはいかがでしょうか。