コラム

新入社員に情報セキュリティ教育が必要な理由は?講義内容や実施方法も解説

情報セキュリティ教育とは、ビジネスシーンで発生するセキュリティインシデントを防止する目的で実施する社員教育のことです。特に新入社員は、インターネットの利用に慣れていても、業務における情報セキュリティの知識が十分でない傾向にあります。年々巧妙化するサイバー攻撃に備えて、入社時に研修を実施するのが望ましいでしょう。

この記事では、現状の新入社員教育に課題を感じている責任者の方へ向けて、情報セキュリティ教育の講義内容や実施方法などを解説します。また、新入社員の「自分ごと化」を促しながら学べるeラーニングコンテンツもご紹介するため、ぜひ情報セキュリティ対策の強化へお役立てください。

目次
  1. 新入社員に情報セキュリティ教育が必要な理由
  2. 新入社員が起こしがちな情報セキュリティトラブル
  3. 新入社員向けに行う情報セキュリティ教育の主な内容
  4. 新入社員向け情報セキュリティ教育の主な実施方法
  5. 新入社員向け情報セキュリティ教育を行う際のポイント
  6. 新入社員向け情報セキュリティ教育で事故を未然に防止しましょう!

情報セキュリティイマジン サービス資料ダウンロード

具体的なケースを通じたテスト形式で「自分ごと」として情報セキュリティリテラシーを高める、オンライン完結で学べるeラーニングです。仮想企業の社員になりきることで、リアルに発生しうるインシデントのケースから、情報セキュリティ意識の重要性と「わかる」と「できる」の違いを理解します。

サービスに関する資料ダウンロードはこちらから

具体的なケースを通じたテスト形式で「自分ごと」として情報セキュリティリテラシーを高める、オンライン完結で学べるeラーニングです。仮想企業の社員になりきることで、リアルに発生しうるインシデントのケースから、情報セキュリティ意識の重要性と「わかる」と「できる」の違いを理解します。

サービスに関する資料の
ダウンロードはこちらから

新入社員に情報セキュリティ教育が必要な理由

はじめに、新入社員に情報セキュリティ教育が必要な理由を解説します。情報セキュリティ事故の防止へ向けて、改めて従業員教育の重要性を確認してみましょう。

情報セキュリティに関する意識が不十分なため

学校卒業後に入社する新卒社員は、社会人経験がないため情報セキュリティに関する意識が未熟なことが少なくありません。そのため、業務で社内の機密情報や個人情報を扱ったり、テレワークで勤務したりする機会に備えて、情報セキュリティ意識を向上させる必要があります。早期の教育でサイバーセキュリティの基本を身につけさせると、情報漏えいのリスクを抑えることが可能です。

情報セキュリティの脅威となるものを事前に知ってもらうため

ビジネスシーンでは、悪意のある第三者が巧妙な手口で企業への不正アクセスを試みる事例が後を絶ちません。こうした背景から、企業は情報セキュリティ教育を通じて、事前に従業員へ正しい知識を共有しておくと安心です。たとえば、脅威の具体例、手口の詳細、実際に起きた被害事例、防止策や対処法などを学ばせるとよいでしょう。

新入社員が起こしがちな情報セキュリティトラブル

情報セキュリティの脅威は、大きく「外部からの攻撃によるもの」と「内部要因によるもの」に分けられます。

【主な情報セキュリティの脅威の例】
外部からの攻撃による脅威
内部要因による脅威
・マルウェア
・ウイルス
・ランサムウェア
・標的型攻撃メール(ビジネスメール詐欺)
・迷惑メール(フィッシングメール 		・メールの誤送信
・IT機器や外部記憶媒体の紛失
・意図的な不正による情報漏えい

「外部からの攻撃による脅威」とは、企業を狙って社外の攻撃者がサイバー攻撃を仕掛けることです。たとえば、マルウェアやウイルスなど悪意のあるソフトウェアで攻撃を行い、機密情報の窃取やシステムの破壊などを行う手口が挙げられます。このほかにも、企業のデータをランサムウェアで不正に暗号化して身代金を要求する手口や、不正なメールを送りつけて情報を盗む手口などが挙げられます。

一方、「内部要因による脅威」とは、企業の従業員や関係者による人的ミスや内部不正が原因で、機密情報が流出したりシステムが障害を起こしたりすることをさします。

入社して間もない新入社員は、知識やリテラシーの不足から情報セキュリティトラブルを起こしてしまう可能性があります。よくあるトラブルの例を踏まえて情報セキュリティ対策を検討しましょう。

標的型攻撃メールへの対応ミス

外部からの攻撃による脅威の中でも、特定の企業を狙った「標的型攻撃メール(ビジネスメール詐欺)」は特に注意が必要です。業務に関連するメールを装って送信されるため、新入社員が騙される危険性が高いといえます。メールの添付ファイルやリンク先にウイルスやマルウェアが仕込まれており、誤って対応することでIT機器が感染したり、機密情報を窃取されたりするおそれがあります。このほかに、不特定多数に送信される迷惑メール(フィッシングメール)にも同様に注意が必要です。

メールの誤送信

内部要因による脅威の中でも、よく発生するのがメールの誤送信です。人的ミスにより、宛先のメールアドレスや添付ファイルなどを間違った状態でメールを送信してしまうことがあります。誤送信が原因となり、社外へ機密情報が流出するリスクがあるため、新入社員のケアレスミス防止に努めましょう。

外部記憶媒体の紛失

従業員がUSBメモリや外付けHDDなどの外部記憶媒体を社外へ持ち出し、紛失してしまう人的ミスです。万が一、紛失した外部記憶媒体が第三者の手に渡ってしまうと、社外の人物に機密情報を閲覧されてしまうおそれがあります。

SNSでの情報漏えい

従業員や関係者が企業の機密情報をSNSで公開してしまい、情報漏えいに発展するトラブルです。情報セキュリティのリテラシーを身につけていない新入社員が、悪意なくSNSで情報漏えい事故を起こしてしまうケースも少なくありません。

許可されていないソフトウェアの使用

情報セキュリティの知識不足により、新入社員が会社から貸与されたPCやスマートフォンに許可されていないソフトウェアをインストールしてしまう場合があります。海賊版のソフトウェアや、セキュリティに問題のあるソフトウェアを使用することで、社用端末がリスクに晒されるため注意が必要です。

私物のスマートフォンの使用

新入社員が情報セキュリティ対策を十分に理解していない状態で、対策が不足した私物のスマートフォンを使用すると、情報漏えいのリスクが高まりやすいといえます。基本的に、業務では会社から貸与されたセキュリティ対策済みの端末を使用するのが望ましいでしょう。

不適切なパスワードの管理

新入社員がパスワードの重要性を理解していないと、推測されやすいパスワードを設定してしまったり、パスワードを安全性の低い方法で保管してしまったりするおそれがあります。パスワードの流出は不正アクセスにつながるため避けなければなりません。

新入社員向けに行う情報セキュリティ教育の主な内容

ここでは、新入社員向けの情報セキュリティ教育で扱うテーマの例をご紹介します。研修内容や教材を検討している情報セキュリティご担当者の方は、ぜひ参考にしてみてください。

情報セキュリティの重要性

具体的な被害事例を挙げながら、社会人経験の少ない新入社員に情報セキュリティの重要性を理解させます。たとえば、情報漏えい事故が起こった場合に想定される「企業の金銭的な損失」「社会的信用の失墜」「個人情報保護法違反の罰則」などを学び、被害の規模をイメージできる状態にします。また、会社が保有する顧客情報・製品技術情報・営業ノウハウなどのさまざまな情報を、ビジネスにおいて価値を持つ「情報資産」として認識させることも大切です。

SNS、メールの安全な利用方法

業務やプライベートでSNSやメールを安全に利用する方法について学びます。たとえば、SNSで機密情報を拡散したり、不適切な書き込みで炎上したりしないためのモラルやリテラシーを身につけさせます。また、企業を狙った標的型攻撃メールに備えて、不審なメールやWebサイトの見分け方を学ぶほか、実際の攻撃メールを想定した訓練を実施する方法も効果的です。

情報機器、データの適切な取り扱い方法

業務における情報機器やデータの適切な取り扱いについて学びます。具体的には、「社用PCや外部記憶媒体の取り扱い方法」「パスワードの設定・管理方法」「OSやソフトウェアの更新手順」「オフィスの施錠方法」「データを破棄する方法」などを内容に盛り込むとよいでしょう。また、テレワークを実施する企業では、「テレワーク中のセキュリティ対策」についても説明することが大切です。

社内のセキュリティルール

基本的な情報セキュリティ対策を社内ルール化するとともに、新入社員に周知します。具体的には、「情報共有の方法」「社外へ情報を持ち出す際の手続き」「IT機器の利用に関するルール」などが挙げられます。その際は、資料やハンドブックなどの文書にまとめて配布することで、新入社員が体系的に内容を把握しやすく、かつ緊急時に速やかに参照しやすくなるでしょう。

セキュリティリスクへの対処法

ビジネスシーンに存在するさまざまなセキュリティリスクの種類や、被害を未然に防止するための対処法などを学びます。情報セキュリティの脅威には、主に「外部からの攻撃によるもの」と「内部要因によるもの」があり、それぞれのリスクを避けるために対策を講じる必要があります。攻撃者の最新の手口を共有し、「セキュリティ対策ソフトの導入」「認証システムの導入」といった対策を促しましょう。

インシデント発生時の対応

実際にセキュリティインシデントが発生した場面に備えて、被害を最小限に留めるための対応方法を学びます。社内で適切な対応を行うことで、影響範囲をできるだけ小さくしたり、速やかに業務を復旧したりすることが可能です。新入社員の場合は、情報セキュリティ責任者への報告方法や、ネットワークの遮断などの初動対応を学ぶとよいでしょう。

新入社員向け情報セキュリティ教育の主な実施方法

新入社員向け情報セキュリティ教育を効果的に実施するために、組織の規模や目的に適した研修手法を選ぶことが大切です。ここでは、新入社員研修の主な実施方法をご紹介します。

集合研修

集合研修とは、受講者を一つの会場へ集めて、講師が対面で指導する研修形態です。新入社員研修でよく用いられる手法で、多数の対象者へ一度にまとめて研修を実施できるというメリットがあります。講師へ直接質問したり、受講者同士がコミュニケーションを取ったりしながら学びを深められます。なお、講師は自社の従業員が務めるか、外部から専門家を招くのが一般的です。

オンライン研修

オンライン研修とは、Web会議ツール・動画配信・eラーニングシステムなどを利用してオンラインで開催する研修形態です。なかでもeラーニングは日時や場所を問わず受講者のペースで学べるため、新入社員研修を柔軟に実施したいケースに適しています。また、eラーニングの研修コンテンツは期間中に繰り返し視聴できるので、受講者本人の理解度に合わせて学習しやすいことがメリットです。

たとえばNTT HumanEXが提供するeラーニングコンテンツ「情報セキュリティイマジン」の場合、プログラム内容には「映像視聴」「案件演習」「理解度確認テスト」「アンケート」が含まれます。わかりやすいアニメーション動画で受講者が飽きずに視聴でき、さらにはケーススタディを通じて情報セキュリティを「自分ごと」として体感しながら学ぶことが可能です。

情報セキュリティイマジン

具体的なケースを通じたテスト形式で「自分ごと」として情報セキュリティリテラシーを高める、オンライン完結で学べるeラーニングです。仮想企業の社員になりきることで、リアルに発生しうるインシデントのケースから、情報セキュリティ意識の重要性と「わかる」と「できる」の違いを理解します。

サービスの詳細はこちらから

具体的なケースを通じたテスト形式で「自分ごと」として情報セキュリティリテラシーを高める、オンライン完結で学べるeラーニングコンテンツです。情報セキュリティ意識の重要性と「わかる」と「できる」の違いを理解します。

サービスの詳細は
こちらから

確認テスト

確認テストは、研修の効果測定のために実施されるテストです。受講者が研修で学んだ内容をどれだけ理解しているかを測定できます。管理職はテスト結果をもとに社内の知識レベルを把握することが可能です。また、受講後にテストを実施することで、受講者の緊張感を高め、知識の定着を促す効果も期待できます。

新入社員向け情報セキュリティ教育を行う際のポイント

新入社員の情報セキュリティ意識を高めるために、研修を実施する際は以下のポイントを押さえておきましょう。ここでは、対象者の研修効果を高めるポイントをお伝えします。

自社のセキュリティポリシーを策定する

「情報セキュリティポリシー」とは、会社の情報セキュリティ対策の基本方針について定めたものです。社内の情報セキュリティ体制や、具体的な対策方法、運用規定などを明確化して社内外に周知する役割があります。新入社員向けに情報セキュリティ教育を実施する際は、事前に自社のセキュリティポリシーを策定するとともに、常に最新の状態に保つことが大切です。

当事者意識を持たせる

情報セキュリティ研修を受講させる場合、受講者が当事者意識を持って学習しなければ、表面的な学びで終わってしまうおそれがあります。新入社員が認識を改めて、実践的な知識やリテラシーを身につけるためには、身近な事例を用いて情報セキュリティの重要性を学ぶことが重要です。研修コンテンツを選定する際は、受講者の「自分ごと化」を促す実践的な教材を導入するとよいでしょう。

研修後のフィードバックを実施する

情報セキュリティ研修の実施後は、確認テストや受講後アンケートを行って、新入社員の理解度の把握に努めます。その際は「自社の業務に適した研修テーマを採用できているか」「研修内容は新入社員のレベルに合っているか」などの観点で振り返りを行います。調査結果やフィードバックを参考に研修のブラッシュアップを行い、受講の効果をさらに高めましょう。

定期的に研修を実施する

サイバー攻撃の手口は巧妙化する傾向にあり、新たな手口が登場する場合もあるため、常に最新情報を把握しておく必要があります。そのため、情報セキュリティ研修は最新の情報を盛り込んで内容をアップデートしながら、定期的に実施するのが望ましいでしょう。新入社員はもちろん、既存社員も含めて情報セキュリティの意識向上をめざして、研修を定期開催することをおすすめします。

新入社員向け情報セキュリティ教育で事故を未然に防止しましょう!

ここまで、新入社員向け情報セキュリティ教育の講義内容や実施方法などをお伝えしました。新入社員は情報セキュリティの知識やリテラシーが不足しやすいため、入社後の社員教育を徹底し、セキュリティインシデントの防止に努める必要があります。その際は、受講者が情報セキュリティのリスクを「自分ごと化」して捉え、意識の向上につながるような研修プログラムを採用すると効果的です。NTTHumanEXでは、情報セキュリティ対策の強化に貢献する各種ソリューションをご提供しています。なかでも新入社員研修には「情報セキュリティイマジン」をおすすめします。

情報セキュリティイマジン」は、現場の日常業務で起こり得る身近な事例を用いながら、学習者の想像力を喚起して「自分ごと化」を促す、実践的なeラーニングコンテンツです。セキュリティインシデントの事例をわかりやすいアニメーションで紹介しながら、“自分ならどう対応するか”を自然と想像させるように設計されています。IPA(独立行政法人情報処理推進機構)が公表する「情報セキュリティ10大脅威」の内容を網羅しているため、最新のサイバー攻撃の手口を把握することが可能です。社内に情報セキュリティリテラシーを浸透させたい責任者の方は、どうぞお気軽にお問い合わせください。

情報セキュリティイマジンに関するお問い合わせ

具体的なケースを通じたテスト形式で「自分ごと」として情報セキュリティリテラシーを高める、オンライン完結で学べるeラーニングです。仮想企業の社員になりきることで、リアルに発生しうるインシデントのケースから、情報セキュリティ意識の重要性と「わかる」と「できる」の違いを理解します。

サービスに関するお問い合わせはこちらから

具体的なケースを通じたテスト形式で「自分ごと」として情報セキュリティリテラシーを高める、オンライン完結で学べるeラーニングです。仮想企業の社員になりきることで、リアルに発生しうるインシデントのケースから、情報セキュリティ意識の重要性と「わかる」と「できる」の違いを理解します。

サービスに関する
お問い合わせはこちらから

関連コラム

情報セキュリティのeラーニングを導入するメリット、選ぶポイントは?

企業向けの情報セキュリティ研修資料10選!研修を行う流れと課題も解説

情報セキュリティとは何か
~その脅威と個人・企業での対策

コンプライアンス研修をeラーニングで行うメリットや実施時のポイント

人気コラム

エンゲージメントサーベイは無駄?そう思われる理由と実施のポイント

ビジネスにおける3つの「責任」
~曖昧な自己責任論を超えて

リスクマネジメント(リスク管理)の目的と導入する際に必要な考え方

「戦略は組織に従う」の現代的意味とは ~アンゾフの逆命題

コラムカテゴリ

関連サービス・システム

情報セキュリティイマジン
情報セキュリティイマジン 
ケーススタディを通じてセキュリティリスクを体感、リテラシーを高める
具体的なケースを通じたテスト形式で「自分ごと」として情報セキュリティリテラシーを高める、オンライン完結で学べるeラーニングです。仮想企業の社員になりきることで、リアルに発生しうるインシデントのケースから、情報セキュリティ意識の重要性と「わかる」と「できる」の違いを理解します。
詳細はこちら
コンプライアンスイマジン
コンプライアンスイマジン 
リアルなケースを想像=イマジンすることで、”自分ごと化”を促進
ハラスメントや企業倫理・法令違反等、コンプライアンス違反の具体的な事例から、実際に起こりうるコンプライアンス違反とその対応方法について学べるeラーニングです。架空の企業を例に、リアルなケースを想像=イマジンすることで「自分ごと化」を促進します。
詳細はこちら
お問い合わせはこちらから
メールマガジンの登録はこちらから

人材育成読本ダウンロードはこちらから