MOTEXの情シスが「新入社員向けのセキュリティ研修」で大事にしてること
2024年も、気付けばもう6月。新年度が始まってからあっという間でしたね。僕たち情シス(情報システム部門)も、新年度に向けての各種システム準備・事後対応に追われ、慌ただしい日々を過ごしました。
さて皆さん、新年度といえば「新入社員研修」ですね!
僕も新入社員として入社し早6年、フレッシュではなくなりつつある今日ですが、今回は4月に情シスが新卒向けに実施した「新入社員研修」の様子についてご紹介します。研修の内容に加え、研修をする上で大事にしているマインド等もお話しています。
いま実際に、新入社員をはじめ社内の方向けに「セキュリティ教育」を実施されている方、今後実施を検討されている方、セキュリティ教育の概要を知りたい方は、ぜひ最後までご覧ください!
情シスが行う、新入社員研修の内容
MOTEX(エムオーテックス)では、4月の新入社員研修時、情シスが半日を使って、主にPC設定やサイバーセキュリティに関する教育を実施しています。
▼主な研修内容
・PCの設定、社内インフラの簡単な紹介
・サイバーセキュリティに関する教育
今回は、特に僕たちが重きを置いている「サイバーセキュリティ教育」の内容について、少し掘り下げてご紹介したいと思います。
MOTEXの「サイバーセキュリティ教育」とは
サイバーセキュリティを専門とするMOTEXでは、新卒・中途を問わず、入社時に研修の一環としてセキュリティ教育を全社員に必ず実施します。
「たった1件のインシデントで、組織の信用が失われる可能性がある」という危機意識を強く持つからこそ、またサイバーセキュリティを牽引する企業であるという想いから、MOTEXでは「社内でセキュリティインシデントを発生させないため、全社員が知っておいてほしいこと」をテーマに、研修を行っています。
組織がインシデントを起こさず、今後もビジネスを持続的に成長させるためには、従業員に定期的なセキュリティ教育や訓練を行い、一人ひとりのセキュリティ意識を高めるための活動が欠かせません。
新人研修で伝える「セキュリティインシデント」の定義
研修では冒頭に、どのような事象がセキュリティインシデントに該当するかを知ってもらいます。
MOTEXでは「9つの事象」をセキュリティインシデントと定義し、中でも従業員にとって身近な
・ウイルス(マルウェア)の感染
・業務用PCや携帯端末、紙資料、USBなどの盗難、紛失、破損
・電子メール、郵送物、宅配物、FAXの誤送
の3点を、特に注意すべき事項として紹介しています。
例えば
・会社の機密データを含む業務用PCを社外で失くす
・上司宛の“個人情報が記載された電子メール”を、うっかり社外のパートナー宛に誤送
といった行動は、いずれも「社外秘情報の漏洩」といったインシデントにつながる可能性があります。セキュリティ事故を起こさないためにも、日頃からセキュリティへの意識を高く持ち、インシデントにつながる行動を起こさないことが重要です。
インシデントを起こさないために注意してほしいこと
インシデントの発生を防ぐため、社内で定めたセキュリティルールをもとに、「普段の業務で守ってほしい注意事項」を伝えます。注意事項の例として、以下のような項目があります。
・メール受信、送信時の注意事項
不審なメールを見分けるポイントや、メールを誤送しないための「メール送信時にチェックすべき内容」を中心に教育しています。
・パスワードの取扱について
パスワードの流出が招く「不正ログイン」のリスクと事例を紹介。次にMOTEXのパスワードポリシー(パスワードの最小桁数や複数の文字種を利用するなど)を伝えた上で、「パスワードの使い回しをしない(アカウントごとにパスワードを変更する)」よう伝えています。
・AIサービス利用時の注意事項
MOTEXが定める「AIサービス利用ガイドライン」をもとに、業務で利用しても問題ないAIサービスの種類と、サービス利用時のルールについて伝えています。
ちなみに生成AIを含むAIサービスを業務利用する際の「利用ルールの策定」や「注意点」が理解できる、セキュリティ専門家監修のAIガイドラインは、以下ページより誰でもダウンロードしていただけます。
万一インシデントが発生したら、どうすべきか?
もし自身が「セキュリティインシデント」発生の当事者となってしまった場合、従業員はどういった対応をすべきでしょうか?
MOTEXでは、セキュリティインシデントに“気付いた時点”で、速やかに所属する部署の部長に報告するというフローを定めています。研修では報告のフローを伝えるとともに、「なぜインシデントの可能性に気付いた時点で、すばやく報告する必要があるのか?」までを、併せて伝えることを心がけています。
また、新人にとって「インシデントを報告しやすい空気感」を作るため、仮に問題が発生しても他の社員が責めることはなく、僕たちのような情シスやCSIRT、関係部門が一緒に問題解決を図るから問題ない、という旨を意識して伝えるようにしています。
研修をする上で大事にしていること
新入社員への教育に限らず、従業員教育でお困りの方も多いかと思います。僕個人の考えではありますが、従業員教育を行うにあたり大事なポイントは、”自社で何を大事にしているか”を必ず研修内容に盛り込むことだと考えています。
サイバーセキュリティを扱うMOTEXでは、自社のセキュリティインシデント0(ゼロ)を目指します。この想いを研修内容に落としこむことで、従業員にセキュリティインシデントを発生させない、万が一発生しても早期解決に向けて取り組んでもらえることを意図した、教育コンテンツを作成しています。
僕たちにとっての「サイバーセキュリティ企業として、セキュリティインシデント0を目指す」ことのように、皆さんの会社にとって譲れないポイントと、それを実現するために必要な教育・コンテンツという視点から、改めて研修内容を振り返ってみてはいかがでしょうか?
この記事が、皆さんの会社にとって教育や研修コンテンツを見直す、何かのきっかけになれば幸いです。
さいごに
今回はMOTEXの情シスが行っている、新入社員研修の内容についてご紹介しました。
MOTEXでは「セキュリティインシデントの発生0」を目指し、引き続き従業員教育やセキュリティ訓練を行なっていきます。皆さんの参考になるよう、今後も note を通じてMOTEXのセキュリティに関する取り組みを発信していきますので、よろしくお願いいたします!
