新卒社員向けに実施すべきセキュリティ研修の内容とは?おすすめの8つのテーマをご紹介
新入社員や中途社員の入社に合わせて、情報セキュリティ研修を実施している企業は多いのではないでしょうか。特に社会人経験の浅い新卒社員は、セキュリティの「弱点」として攻撃者の標的になりやすい傾向があります。しかし、デバイス、ソフトウェア、情報の取り扱い、操作ミス、サイバー攻撃、セキュリティツール、ネットワークなど、様々なところに幅広く存在するリスクについて、網羅的に教育しようとするといくら時間があっても足りません。
ここでは、新卒社員向けの情報セキュリティ教育に盛り込むべき内容について解説します。ご参考にご覧いただければ幸いです。
新卒社員向けのセキュリティ研修に入れるべき内容
基礎知識と、新卒社員にありがちなテーマに絞って、具体的な例を紹介することをお勧めします。なぜそうする必要があるのか、しなかった場合にどのようなリスクがあるのか、を合わせて伝えることが効果的です。具体的には、以下の8つのテーマをお勧めします。
1.情報セキュリティとは何か?機密情報とは何か?
情報の機密性、完全性、可用性の3要素や、ビジネスにおいて不可欠である理由などの基本的な知識を学びます。また、新入社員の場合は何が「機密情報」なのか?を理解しておらず、意図せず社外に流出させてしまうケースがあります。
例えば、会議の議事録や手順書、アンケート結果など、個人情報などが入っていないからと社外からアクセスできる場所に置いたり、社外の人に話すなどして漏えいさせてしまうケースがあります。何が機密情報なのか?それが漏れるとどのようなリスクを引き起こす可能性があるのか?を合わせて解説することが有効です。
2.メールやチャットでの情報の扱い方、誤送信対策
東京商工サーチによる調査「 2023年「上場企業の個人情報漏えい・紛失事故」調査 」によると、2023年の主な個人情報漏えい・紛失事故の原因の第2位に「誤表示・誤送信」が挙げられています。
誤送信で多いのは、次の3つです。
宛先のミス
個人情報を含む顧客リストを社内に共有するつもりで、宛先を誤って外部の取引先に送ってしまった、などのケースです。メールアドレスの入力ミスや、検索によって出された候補の選択間違いなどもよくあるケースです。
添付ファイルの誤送信
顧客に資料を送る際に、誤って内部の機密情報が含まれるファイルを送ってしまった、別の顧客宛の請求書を送ってしまった、などが挙げられます。
BCC送信のミス
メールの一斉送信の際、本来BCCで送信すべきところをTOやCCで送付してしまうパターンです。受信者全員のメールアドレスが見られる状態になります。
送信前の確認の徹底や、確認機能があれば設定するなどを新卒社員の時点で徹底することで、習慣となりリスクを低減できます。クラウドストレージなどの利用を社内で推進しているようであれば、方法を徹底することも必要です。
3.デバイスやデータの持ち運び
ノートパソコンやスマートフォンを一人1台ずつ支給している企業も多いでしょう。紛失してしまったり、電車や店内に置きっぱなしにする、など、うっかりミスは気を付けていても発生します。ログオン時のセキュリティや認証など、ルールを徹底するように伝えましょう。大切な情報はできるだけパソコンに保存しない、外で仕事をすることがある場合は画面ロックなど細かいことも注意喚起する必要があります。
また、USBメモリなどの外部メモリを使っているケースもあるかと思います。会社支給のUSBメモリなどを使う、暗号化を徹底する、などの対策を伝えましょう。
4.ウイルス感染の防止
前述の「 2023年「上場企業の個人情報漏えい・紛失事故」調査 」によると、2023年の情報漏えい・紛失事故のうち「ウイルス感染・不正アクセス」を原因としたものが最も多く半数以上を占めています。ウイルスに感染すると、個人情報や機密情報が流出したり、踏み台にされて社内や取引先が攻撃される恐れがあります。
主に以下の内容を喚起しましょう。
不審なメールやチャットに注意する
フィッシングやビジネスメール詐欺の存在と、その被害の大きさを伝えましょう。スパムなどは新卒社員でも見慣れているかもしれませんが、組織を狙う標的型攻撃メールの情報にはこれまで触れていない可能性があります。怪しいメールの特徴などの見破り方や、不要にリンクをクリックしたり添付ファイルを開かないことなども指導するのがよいでしょう。
様々な新しい手口が登場し続けていることも伝えることも大切です。
参考)
- Chatworkを悪用したフィッシング攻撃とは?なりすましアカウントや乗っ取りの手口と対策
- なぜLINEのグループチャットの作成を促すのか?日本の組織を標的とする新しい攻撃パターンについて解説します
- ClickFix(クリックフィックス)とは?偽のBot確認で感染する巧妙な攻撃手法
- 2段階認証も突破!急増するリアルタイムフィッシング詐欺とは?
- QRコードは何が危ない?スキャンの危険性と攻撃例をご紹介
怪しいWebサイトを閲覧しない
悪意のあるサイトの閲覧でマルウェアに感染したり、情報を搾取される可能性があることを伝えましょう。不審なメールから誘導されることもあります。
普通の広告から不審なWebサイトへ誘導されるケースも報告されています。スポンサー広告と呼ばれる広告はもちろん、ソフトウェアのインストール時に一緒にインストールされる、いわゆる「アドウェア」にも注意が必要です。
参考:広告にご注意!日常に潜むランサムウェアやサポート詐欺のリスク
不審なソフトウェアをインストールしない
便利そうなソフトウェア、と思ってインストールしたものが、実は悪意のあるプログラムである可能性があります。簡単にインストールできるブラウザ拡張機能も、危険なものが報告されています。
OS、ソフトウェアの更新を徹底する
パソコンのOSやインストールされているソフトウェア、ブラウザなどを常に最新のバージョンに保つことが大切です。更新プログラムには、セキュリティ脆弱性を修正するパッチが含まれています。
5.個人アカウントの業務利用
組織の管理外で利用されるツール、管理されていない端末は、情報漏えいや管理不備の原因になることがあります。個人アカウントのチャットで業務連絡をしたり、業務のメールを個人メールに転送して自宅で閲覧するなど、管理されていないツールや端末での利用は、便利さゆえにやりがちです。意図せず情報を外部に持ち出してしまうリスクがあることを周知し、立ち止まって考えるように伝えましょう。
また、記録やメモのために個人のスマホで撮影するなど、撮影のリスクにも触れておくとよいでしょう。個人アカウントのカメラやアプリで撮影した瞬間に、情報は組織の管理外に出ます。機密情報が映り込んだ画像が個人端末に保存されてしまうということに注意しましょう。
6.認証情報の設定・管理
ビジネスプラットフォームや重要な情報を取り扱うクラウドサービスには、多要素認証などセキュリティを高める機能がついている場合があります。
会社の方針に従って、かならず認証を設定すること、しない場合にどんなリスクがあるか、等を伝えましょう。
総当たり攻撃(ブルートフォースアタック)や、偽のフォームに誘導して認証情報を入力させるなどの様々な手口を紹介することで、社員が自身で考えてリスクを低減できるようになります。
7.AI利用のリスク
AIの台頭に伴い、普段から分からないことをAIに聞いているなど、日常的に使っている方も増えています。組織の機密情報をAIに入力して質問するなど、普段の延長で悪意なくやってしまうこともあります。危険性とルールを徹底するように注意喚起しましょう。もちろん、便利なツールを活用することは業務効率化にもつながります。NG行動とOKな行動を合わせて伝えるのがよいでしょう。
NGの例)
・顧客情報を貼り付けて要約
・社内資料をそのまま入力
OKの例)
・一般的な調査
8.万が一の場合の報告
怪しいメールが届いた、URLをクリックしてしまった、パソコンがウイルス感染した可能性がある、誤って情報を流出させてしまった、などの場合には、社内ルール・報告フローに従って即座に報告するように伝えましょう。ミスや悪いことを報告するには腰が重いものですが、早い報告がいかに大事か、最低限の被害に抑えることができるか、をしっかり認識してもらい、報告の文化を醸成しましょう。
まとめ
限られた研修時間の中で、セキュリティ研修はどこまでやるべきなのか?何を伝えるのが効果的なのか?担当者としては悩みどころかと思います。インプットが多い研修期間でたくさんの情報を詰め込んでも、身近ではない部分はなかなか頭に入らないことも懸念されます。
新卒が起こしやすいインシデント、を中心にリスクと対策、事例を交えながらポイントを絞って研修されるのがよいでしょう。なお、多くの調査で、誤送信や不審メールを起点とした事故が上位を占めています。メールにおけるセキュリティ対策は、研修時だけではなく日頃から注意喚起されることをお勧めします。
Selphishで行う新卒向けの攻撃メール訓練
Selphishは、標的型攻撃メール訓練サービスです。社員に対してリアルな状況で疑似攻撃メールを受け取り、実際に対応することで、攻撃の手口を理解し、回避したり報告するスキルを身につけることができます。
新卒向けの研修では、この訓練メールを体験し、どこが怪しいか?をディスカッションしたり、開封したことを想定した報告を実践するなどにもご活用いただけます。
ぜひSelphishを使った訓練形式の研修を、取り入れてみてはいかがでしょうか。
メール訓練のノウハウと
効果的な進め方教えます
