CISOの相談室　第6回無料で新人向けにセキュリティ教育はできませんか？

今年4月入社の新入社員が現場配属され、ある程度責任のある仕事を任されはじめています。しかし、個人情報や機密の漏えいなどが心配です。管理者として新人をどのように指導したら良いか、ポイントなどを教えて下さい（費用はあまりかけられません）。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

─

●新入社員向けセキュリティ研修を開こう！

社会人一年生の中には、ちょっと前まで気ままな学生生活を謳歌していた者や、中途採用の者などが混在していて、セキュリティの理解について個人差が激しいものです。経営者や管理職は、新入社員のセキュリティ知識と意識を均等に引き上げ、会社リスクを軽減しなければなりません。その第一歩が新入社員向けセキュリティ研修会です。効果的な研修は以下の手順で実施すると良いでしょう。

1.どのようなセキュリティ事件や事故が起こっているか？
2.なぜ起こったか？
3.責任問題、損害、賠償、処分について
4.どうすれば起こらないか？

先ず、具体的な被害例を見せて、「こんなことをしていたらセキュリティ事故や事件が起こりますよ。そして、会社やお得意様に迷惑がかかり、責任を取らされますよ。だからこうしましょう。」と言った流れで説明します。

●楽しい研修で理解度アップ！

無料で観られる対策ビデオなどの教材も豊富にありますから、利用すると効果的でしょう。

マイクロソフト：セキュリティ at Home ビデオ
http://www.microsoft.com/japan/athome/security/videos/downloads.mspx

警察庁：情報セキュリティ対策ビデオ
http://www.npa.go.jp/cyber/video/index.html

JNSA：インターネット安全教室
http://www.jnsa.org/caravan/contents/index.html#movie

●理解度チェック

研修の最後、または定期的に、社員がどこまでセキュリティについて理解できたのかをチェックしましょう。JNSAでは社員の理解度を一元管理できるツールを提供しています。

JNSA：情報セキュリティ理解度チェック
http://slb.jnsa.org/eslb/

研修は一度受ければOKと言うわけにはいきません。事象も環境も技術も日々変化しますからレベルに合わせた、また、旬な話題を盛り込んだ研修を定期的に実施するべきです。つまり、ベテラン社員や管理職も例外ではないということです。

●ここがポイント

以下は、新人が起こしやすいトラブルやセキュリティ上のミスです。

・メール送信時に宛先のToやCCに多くのメールアドレスを記載する。
・ノートブックやUSBメモリの入ったカバンを電車やタクシーに置き忘れる。
・自宅でWinnyなどのファイル交換ソフトを利用している。
・会社のシステムを私的目的で利用する。
・ワクチンソフトの動作が重たいのでPCからアンイストールしてしまう。
・個人で利用しているパスワードと業務で利用するパスワードを同じにする。
・業務に関係の無いソフトを無許可でインストールする。

以下は、実際に効果があった教え方の例です。

・社員は、管理された安全なシステムとネットワーク環境を利用でき、ワクチンソフトなどセキュリティ技術を利用できる権利があります。

・社員は、セキュリティポリシーを遵守し、社内システム、データ、セキュリティ技術を適正に利用する義務があります。

・会社のシステム（ハードウェアやソフトウェア）は、会社の業務のためにあり、社員が個人的な目的で利用するべきではありません。

・システム上で作成されたデータは、会社の資産であり、お客様の個人情報や会社の機密が含まれています。よって、社員が勝手に持ち出したり、関係者以外に閲覧させたり、利用させてはいけません。

・社員は、社内、社外にかかわらず…

【執筆：せきゅバカ一代】
＜執筆者略歴＞
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec