社員へセキュリティ注意喚起を行う際に工夫したこと（前編）

皆さまこんにちは。2020年に新卒として株式会社コンピュータマネジメントに入社し、Webマーケティングを担当している入社4年目のMです。

ちょうど新型コロナウイルスに大きく翻弄された2020年に入社してから、様々な社内活動に携わってきましたが、今回はその中でも特に印象的だった「社内セキュリティ啓蒙活動」についてお話ししていきたいと思います。

「最近、リモートワークの普及で社員のセキュリティ意識の低下が目立ってきた。何とかしないと・・・！」

とお困りの情報セキュリティ担当者様のヒントになれば幸いです。

「ISMSレポート」について

当社で本格的に社内セキュリティ啓蒙活動に向けて動き出したのは、2021年の6月からです。

それまでは、社内掲示板を利用して「ISMSレポート」という名でセキュリティに関する情報発信を行っていましたが、

・レポートの配信が不定期で、全然定着しない
・文字ばかりで図が一切無く、非常に読みづらい
・情報を発信する人が固定化され、1人に負担が集中

などの問題があり、せっかくの発信活動が形骸化しつつありました。

そこで、2017年のISMS認証取得以来、ISMSのPDCA運用サイクルを回し続けてきた「ISMSワーキンググループ」（以下、ISMS_WG）にて、事態の改善を図ることになりました。

具体的には、

・レポートの配信が不定期で、全然定着しない
⇒月1回のペースを守って配信を継続する

・文字ばかりで図が一切無く、非常に読みづらい
⇒入社したての新入社員にも分かるように、図がたっぷりで気軽に読むことのできる資料を作る

・情報を発信する人が固定化され、1人に負担が集中
⇒ISMS_WGに所属している部門ごとの持ち回りでレポートを作成する

とし、配信活動を一定のペースで継続しつつ、何かと業務多忙な社員に目を通してもらえるような改良版「ISMSレポート」を作ろうとしました。

テーマはどうする？

継続的な情報発信が求められる社内セキュリティ啓蒙活動において、いちばん悩ましいのが「テーマ選び」です。

私たちも毎月「ISMSレポート」配信活動を続けていく中で、以下2つの観点からテーマを選定すると良いのでは？という境地にたどり着きました。

時期に合った「旬」なテーマを選ぶ

効果的なセキュリティ注意喚起を行うなら、「この時期だからこそ取り上げるのにふさわしい」テーマ選びを優先しましょう。

例えば、4～6月頃の新入社員研修期間なら、入社直後で学生気分がまだまだ抜けきっていないフレッシュマン向けに、

・会社の重要なセキュリティルールを分かりやすくまとめる
・社会人が気を付けるべきSNS利用のマナーを周知する

といった内容がおすすめです。

長い連休を取得する人が増えるGWや夏休み、年末年始は、IPA（情報処理推進機構）のような公的機関の注意喚起に便乗し、「長期休暇前後に実施すべき情報セキュリティ対策」の徹底を呼びかけましょう。

また、直近で

・社内で電子メールの誤送信事故が発生した
・世間でUSBメモリ紛失による情報漏えい事故が発生した

とあれば、社員の情報セキュリティに対する関心も高まっていることが予想されるため、この機を逃さず社内全体に注意喚起を行うことで、間違いなくセキュリティ意識の向上が図れるでしょう。

テーマは以前配信したものと被ってOK

社内セキュリティ啓蒙活動の目的は、あくまでも「社員一人ひとりのセキュリティ意識を高める」ことなので、同じテーマについて定期的に取り上げるのはむしろ効果的といえます。

例として、ログイン認証時にほぼ毎日使う「パスワード」であれば、一定の期間を置いて何度か「適切な管理の重要性」について伝えるほうが、注意喚起を一度きりで済ませるよりも実効性は高いでしょう。

ただ、前回と全く同じ内容を発信するのも芸がないので、そんな時は「切り口」を変えてコンテンツを考えるのがおすすめです。

パスワード管理であれば、1回目は

「複数のパスワードを使い回してはいけない理由」

を重点的に伝え、2回目は

「第三者に推測されにくいパスワードを作る方法」

をメインに取り上げれば、テーマの「ネタ切れ」の必要もありませんし、何よりトピックが1つに絞られて読み手に重要なポイントが伝わりやすくなります。

タイトルはどうする？

社内掲示板を見ると真っ先に目に入る「タイトル」。業務多忙な社員にまず関心を持ってもらうためには、この「タイトル」が第一関門となります。

タイトルだけで興味を引くなら、読み手が思わずクリックしたくなるような「呼びかけ形式」にすると効果的です。

「外部記憶媒体（USBメモリ）の危険性について」
「外部記憶媒体（USBメモリ）の危険性を知っていますか？」

上記の例なら、言うまでもなく下のタイトルのほうが読んでみたくなりますよね。

ここで、当社が今までに配信した「ISMSレポート」のタイトル一覧を一挙大公開します！ぜひ魅力的なタイトル付けの参考にしてみてください。

配信方法はどうする？

資料も完成して、さあいよいよ公開しよう！となった時に、工夫したい点が1つあります。

それは、資料をすべて「画像化」するということです。

社内掲示板で資料付きの情報を発信するとなると、多くの場合資料をPDF化して添付すると思います。

しかし、それだと「PDFをダウンロードし、ファイルを開く」という2段階の作業が発生することになり、

「この忙しい時に、いちいちファイルをダウンロードして読んでいられるか！」

と思われて、せっかくの力作を読んでもらえない可能性があります。

そこで、資料をすべて「画像化」し、わざわざファイルを開かなくても「その場ですぐに」内容が分かるようにしておきます。

画像に変換してもデザインが崩れにくいPowerPointであらかじめ資料を作っておくと便利ですね。

こうすると、予備動作なしで自然と資料の内容に目が向くようになるため、「ちょっと読んでみようかな」と読み手である社員の注意を簡単に引き付けることができるというわけです。

まとめ

今回は、当社で「ISMSレポート」の改善に乗り出すことになった経緯と、テーマ選び、タイトルの付け方、配信の仕方で工夫した点についてご紹介しました。

「ISMSレポート」の作成にあたり、工夫した点はまだまだたくさんあるのですが、これ以上書くと長くなってしまうので、一旦区切ります。
別記事で追々ご紹介できればと思っているので、お楽しみに。

それでは今回はこの辺で。
ここまで読んでいただき、ありがとうございました！

↓ 後編ができました！