毎年4-5月ごろは、新入社員研修が行われていると思いますが、情報セキュリティに関する教育も研修に含まれているでしょうか?
ということで、今回は情報セキュリティ研修として、新入社員に教えておきたいこと(知っておいてほしいこと)についてまとめてみました。
情報セキュリティに取り組むことの重要性と一人ひとりの責任について
自社や取引先に関する情報・データが悪用されたり、マルウェア(コンピュータウイルス)感染によって業務システムに問題が生じてしまったりすると、自社だけでなく、取引先にまで大きな損害が生じてしまうおそれがあります。
そのような事態が起きないよう(起こさないよう)に対策を実施すること、情報を適切に管理することは企業の、また、そこで働く社員一人ひとりの、社会的な責任です。
新入社員を含む業務に携わるすべての社員が、セキュリティ意識を持ち、自社のルールを守って(安全に)、情報・データ・端末などを利用する必要があることを周知しましょう。
自社の情報セキュリティの基本的なルールについて
仕事で利用するパソコン・スマホ等の端末、アプリ、業務用データ、ネットワークなどは、会社のルールに従って、正しく・安全に利用しなければなりません。
会社側は、自社のルールを定期的に周知することが重要です。マニュアルとして文書化して配布して、必要な時に確認できるようにしておくとよいです。
新入社員側は、プライベートや学校の時のルールとは異なり、色々と制限や禁止されることで不便に思うこともあるかもしれません。しかし、会社側は様々な状況を想定して、情報漏えいやマルウェア感染などの事件事故が発生する可能性をできる限り低減させることと利便性のバランスを見ながらルールを定めているということを理解しておきましょう。
社内ルールで制限・禁止・強制され得ることには、例えば次のようなものがあります(一例)。
- OSやアプリの定期的なアップデート実施(サポート切れOS・アプリの利用禁止)
- セキュリティ対策ソフトなどによる利用状況の管理(位置情報や利用状況の監視)
- 業務アカウント、メールアドレスの限定(私的アカウント・メールの利用禁止)
- 業務利用端末の限定(私物端末の利用禁止)
- 重要情報へのアクセス制限実施(重要区画への入室制限など)
- クラウド、チャットツールなどの利用制限または禁止(自社が許可するもの以外禁止)
- 業務端末・データの社外持出の制限または禁止(USBメモリの利用禁止、重要情報のクラウドへのアップロード禁止など)
- 接続するネットワークの限定(社内ネットワーク以外への接続禁止)
日常業務の中で注意することについて
社内ルールと併せて、具体的な作業工程や状況ごとに、「どのようなことを起きこさないように注意しなければいけないのか、そのために何を注意したらいいのか」を周知することも大切です。
例えば、次のようなことが発生しないように注意することを理解してもらいましょう。
| 作業 | 起こしてはいけないこと | 注意して行うこと |
| メールの送信 | 間違った相手に送信してしまう(情報漏えい) | 送信前の送信先アドレス確認、送信保留設定・ツールを利用する など |
| メールの受信 | リンク・添付ファイルを安易に開いてしまう(マルウェア感染) | 送信者名ではなく送信元アドレスを確認する、安易に開封しない など |
| 取引先での商談 | 重要情報の無断持出、紛失・盗難(情報漏えい) | 常時携帯する(寄り道しない)、持出禁止データや端末を持ち出さない など |
| 来訪者への接客 | 端末画面や机上の資料などを覗き見られる(情報漏えい) | 常に整理整頓、端末の画面を開いたまま離席しない など |
| 社外作業・在宅勤務 | 安全ではないネットワークへの接続、端末や資料の紛失・盗難(情報漏えい) | VPNなど会社指定ネットワークの使用、安全ではない公共Wi-Fiへの接続禁止 など |
| アプリ・サービスの利用 | ID・パスワードを第三者に知られる、許可されていないアプリ・サービスを利用する(情報漏えい、アカウント不正利用による迷惑行為加害の発生) | 複雑なパスワードを設定する、安易に同僚や取引先にパスワードを教えない、許可された端末・ネットワーク以外で利用しない など |
| 社内業務 | 必要なデータの誤消去、指定場所以外への保管(情報漏えい、データ喪失) | データ管理ルール遵守、データバックアップの実施 など |
| 生成AIの利用 | AIへの指示・参照データから秘密情報・個人情報が外部に知られる | 許可されたAI以外は利用しない、AIの学習に情報・データを利用されない設定にする など |
| SNSの利用 | 自社や取引先の秘密情報・個人情報の投稿(情報漏えい) | プライベートの投稿でも自社・取引先の秘密を投稿しない など |
トラブル発生時の対応について
万が一、仕事中にトラブルが起きてしまった場合、速やかに上司や情報セキュリティ担当者に次のようなことを報告する、ということも周知しておきましょう。
- 何が起きたのか(例:パソコンの画面にウイルス感染警告が表示されて消えない)
- 何をしたら起きたのか(例:ネットで海外サイトにアクセスしたら表示された)
- いつ起きたのか(例:報告する30分くらい前)
- 気付いてから何をしたのか(例:ネットワークを遮断して画面のスクショを撮った)
報告と並行して「証拠を残す(画面のスクショなど)」「マルウェア感染の可能性がある場合はすぐに端末をネットワークから切り離す(LANケーブルを抜く、WI-Fiをオフにする、など)」「警告表示内のリンク、メール、電話番号に絶対にアクセスしない」などを実施することも周知しておきましょう。
適切な情報管理のため、「自分のこと」として意識し、情報セキュリティに取り組むことの重要性を理解してもらうことは、組織の重要なセキュリティ対策です。自社に新しい仲間が加わった際は、実務の研修だけでなく、セキュリティ研修も実施しましょう。
