見出し画像
Photo by soeji

初めて情報セキュリティ研修を企画/実施した備忘録

土日は飲んでいます

この記事は「【初心者優先枠】corp-engr 情シスSlack(コーポレートエンジニア x 情シス)#2」の12/20の記事です。

今回は、情報セキュリティ研修を初めて実施した際の企画から当日の運用までをまとめます。
研修自体は盛り上がって、みんなからも楽しかったと言ってもらえたのと、研修後から「〜したいんですが、セキュリティ的に大丈夫ですか?」みたいな質問が来るようになったので、我ながら上手く行ったなぁと思っています。

同じような境遇で研修担当になった方の参考になれたら嬉しいです。
文字数多めです。ご注意ください。

自己紹介

EC系のスタートアップで一人情シスしています。
3年くらいWebエンジニアやったけれど、全然向いてなくて、そのあと人事になって、色々あって、情シスになりました。

一人でバックログ管理して、一人でポストモーテムっぽい事しています。
いつか情シスチーム作りたいですね。
情シス歴は1年半のペーペーです。情シスslackに何度も助けていただいております。。。(皆様に感謝..)

記事で伝えたいことを3行でまとめると

  • 参加者からのガヤがめちゃめちゃ重要

  • 研修で伝えたいことを限りなく絞る(伝えたいことはたくさんあるが我慢)

  • 研修内容は参加者がインタラクティブに参加できる仕組みを作る

ということで、ここからは企画から実施までに行ったことを記載していきます。

私の環境

  • 従業員110名くらいのECスタートアップ(正社員は60名くらい)

  • 情シス担当は私一人

  • 社内には盛り上げが得意なメンバーがたくさんいる(本当に有難い)

研修の概要

  • GoogleMeetを使用した完全オンライン型

  • 参加者対象は全従業員

  • 参加者数は80名

  • 研修時間は45~60分

企画編

🏁目的を決める

まずは研修の目的を決めました。目的は会社のフェーズやメンバー情報セキュリティ知識、ビジネスモデルなどなどによって変わると思っています。目的に応じて、参加対象者や研修内容も変わるので明確にしたいです。

今回実施した研修では、目的を以下にしました。

「一発レッドカードになったら終わりだよ(トップラインを上げるのは大変、会社を止めるのは簡単)の危機意識の醸成」

上記目的に至った背景は以下です。

・スタートアップということもあり、トップラインに目が行きがちなため、会社を成長させるにはセキュリティが大切ことを理解してもらいたい

・それぞれのメンバーがかなりの量のお客様情報を扱っているため、情報漏洩を防ぐにはメンバーそれぞれの危機意識も重要

目的によっては、経営層のみや特定の部署のみに実施する選択肢も出てくると思います。(私もどこかのタイミングで経営層向けに実施したいと思っています)

📬研修で伝えたいメッセージを決める

次に目的を達成するために研修通じて伝えたいメッセージを決めました。
今回の研修であれば、どうすれば社内メンバーに危機意識芽生えるのかを考えてメッセージを決めました。

具体的には以下です

・弊社のような中小企業で日々インシデント起こっている

・わざとじゃなくてもインシデント起こしたら、倒産する可能性もある

・インシデント起こさないためにも、こんなことは避けて欲しい

🖥メッセージを伝えるための情報を集める

メッセージに沿った情報を集めました。
他の情シス業務もあるので、コスパ良く見つけたいです。みなさん普段の情報収集方法があるので、その方法で探すが良いと思います。

個人的には以下のWebサイトをメインに情報を集めました。

メッセージそれぞれに紐づく情報として以下を集めました。
※記事用にかなり簡素にまとめました。細い情報も含めると情報多すぎるので、、

弊社のような中小企業で日々インシデント起こっている

わざとじゃなくてもインシデント起こしたら、倒産する可能性もある

インシデント起こさないためにも、こんなことは避けて欲しい

  • 実際に弊社で起こったヒヤリハット事例

  • EDRでの実際のインシデント検知数

  • 情シス観点で当たり前のこと

    • 野良Wi-Fi使わない

    • パスワードをスプシに書かない

    • PCのローカルに個人情報おかない

    • 変なメールや添付ファイル開かない etc….

✏️メッセージの伝え方を考える(コンテンツ)

ここが一番大変でした。企画力が試されます。一方的に話してもつまらない研修で終わります。参加者80名の業務時間をもらっているので、参加者の実になるように、楽しんでもらえるようにコンテンツを考えます。
あとは、研修中に内職して、ほとんど聞いていないって状況は絶対に防ぎたい、、

今回はワークを細かく取り入れることにしました。
オンラインで80名ほど参加者がいるのと、ブレイクアウトルームだったりに分けるのが面倒だったので、私がいきなり指名して答えてもらう形式にしました。(参加者がアクティブになるのでおすすめです笑)

実際に行ったワークは以下です。

・インシデントによる損失ってどんなことがあるでしょうか?3名当てます!30秒で考えてください。

・情報漏洩による損害賠償金額を計算してみましょう!!
 (弊社が持っている個人情報と上記で紹介したトレンドマイクロさんの記事を基に算出してもらいました)

・損害賠償金額と会社の年間売上を比較してましょう!

・(フィッシングメール)どちらが本物かを当てください

・なぜ悪い人たちはサイバー攻撃するのでしょうか??30秒で考えてください

参加数やオンライン/オフラインかで、企画内容は変わると思いますが、参加者に自分で考えてもらう、手を動かしてもらう、いつ指名されるか分からない状況を作れると、程よい緊張感が生まれて良いと思います。

🤝事前に味方を作る

いわゆるサクラです笑
途中途中の質問コーナーで、誰も質問しないと割としんどかったり、質問が出ることで参加者の理解も深まるので、仲の良い後輩や先輩2名くらいに「こんな質問してください」とお願いしていました笑

✋想定される質問への回答を用意する

質問への回答時間は、研修の効果を引き上げるadditional_timeです。
「こんな質問くるだろうな、その際にこれを伝えよう」を決めておけると、質問者の期待値を超えた回答ができそうです。
自信もって回答できると社内の情シスの信頼度も上がりそうです。

想定した質問(回答は会社によって変わるかなと)

・怪しいURL踏んだじゃったらどうすれば良い?

・シェアオフィスや作業ラウンジのWi-Fiは使っても良い?

・プライベートのスマホも落としたら連絡した方が良い?

・ウイルス対策ソフト意味ないの?

・OSって古いままだとダメなの?

当日の実施編

🥺どんなスタンスで参加して欲しいかを伝える

これは会社の雰囲気や担当者のキャラなどによって変わると思うのですが、参加者が楽しくインタラクティブに参加して欲しかったので、冒頭で以下を伝えました。

研修って堅苦しいイメージありますよね、、分かります。。

できるだけ”いい意味”で盛り上がった時間にしたいので、質問だったり・野次だったり、コメントだったり、meetのチャットに投げてもらえると嬉しいです〜!

社内メンバーに盛り上げ役が多いので、meetもいろんなネタ、ヤジ、コメントで溢れてくれて、"いい意味"で盛り上がった研修になりました。

📄アンケートをお願いする

最後にアンケートをお願いしました。
アンケートも「理解度をテストするもの」と「満足度を測るもの」があると思うのですが、今回は次回以降にも繋げるために「満足度を測るもの」にしました。

NPSのアンケートを参考に作成しました。
※NPSは圧倒的なプラスでした。社内のみんな優しい。。(美味しくビールが飲めました🍻)

・今回のようなセキュリティ研修をテーマを変えて定期的に実施してほしいと思いますか?(1~10点)
・今回の研修を新しく入社したメンバーにも受けてほしいと思いますか?(1~10点)
・次回はこんなセキュリティ研修を受けてみたいがあれば教えてください
・感想、改善点を教えてください

「感想、改善点」に日々の気なっていることを記載してくれるメンバーもいて、情報セキュリティの新しい課題も見つかりました。

最後に

初めて情報セキュリティ研修を0から実施するのはなかなか大変で、3週間くらい前から準備してギリギリでした。
(研修担当自体、社会人になって初めてでした)

カミナシ社の小林さんが「セキュリティは文化」と仰っていましたが本当にその通りだと思います。
今回の研修も文化形成の一要素に過ぎないので、情シスとしてどうすればセキュリティを文化にできるのか、これからも試行錯誤して行こうと思います。

研修資料作成にあたり参考にした研修資料例


この記事が気に入ったらサポートをしてみませんか?