新入社員に実施したい情報セキュリティ教育とは?お勧め教材3選を解説

新入社員に実施したい情報セキュリティ教育とは?お勧め教材3選を解説
2024.03.28

新入社員が入社する4月には、情報セキュリティ研修を実施する企業も多いはずです。
社会経験のない新入社員には、情報セキュリティの重要性をしっかり伝える必要があります。

ただ、どのような内容を伝えればよいのか、どのような方法で行うのが効果的なのか悩んでしまう担当者様は多いのではないでしょうか。
そこで本コラムでは、新入社員への情報セキュリティ教育の重要性を解説した上で、実施すべき情報セキュリティ教育の内容をご紹介します。

また、教育に使える資料や効果的に行うポイント、具体的な方法についても解説します。

セキュリティ無料相談

目次

新入社員への情報セキュリティ教育の必要性

今の新入社員はスマートフォンやパソコンなどの操作には慣れているものの、情報セキュリティの重要性に関しては深く認識できていない場合も多くあります。
情報セキュリティの重要性や社内ルールなどについて理解しないまま業務を始めてしまうと、思わぬところでトラブルが起きてしまいます。
東京商工リサーチが2023年に行った調査によると、近年企業の重大インシデントといわれる情報漏えいの原因のうち約46%は、外部からの攻撃ではなく、人為的な原因でした。

情報漏えい 原因別
出典:東京商工リサーチ 【2023年「上場企業の個人情報漏えい・紛失事故」調査】

このように、企業側がウイルス対策ソフトなどを導入しても対策できない人為的な原因を防ぐためには、新入社員への情報セキュリティ教育は避けて通れません。 情報セキュリティ教育を通して、重要性の理解や社内ルールの徹底を目指しましょう。

新入社員に実施したい情報セキュリティ教育の内容例

新入社員に情報セキュリティ教育を実施する際、具体的に何を教えればよいのかと悩んでしまう担当者の方は多いはずです。
ここでは、新入社員に実施したい情報セキュリティ教育の内容例をご紹介します。

情報セキュリティの基本・基礎知識

新入社員の多くは、情報セキュリティとはどのようなものかを理解していない場合が大半です。
そこでまずは、情報セキュリティの基本・基礎知識を理解してもらいましょう。

内容例は以下のとおりです。

・情報セキュリティの重要性
・情報資産とは

情報セキュリティの重要性

これから社会に出て働き始める新入社員の多くは「情報セキュリティって何?」「なぜ大事なの?」という状態です。 このような状態で表面的な対策を伝えたところで、その重要性を理解してもらうことはできません。
そのため、まずは情報セキュリティとは何か、なぜ重要なのかを知らせるところから始めましょう。 また、具体的な被害事例なども併せて紹介できれば、より深く重要性が伝わります。
新入社員は情報セキュリティについてゼロの状態で入ってきますので、まずは基本的な部分から理解してもらうことを目指します。

情報資産とは

新入社員にとって、情報はあくまでデータの1つであり、会社にとっての資産であるという認識はないケースがほとんどです。 会社にとって価値のあるものという認識がなければ、大切に扱うことはないでしょう。
そのため、情報資産とは何なのかについて学んでもらう必要があります。
情報資産について理解することで、情報セキュリティの重要性をより深く認識できます。

具体的なセキュリティリスク

次に、具体的にどのようなセキュリティリスクがあるかを伝えましょう。
内容例は以下のとおりです。
・悪意のある外部からの攻撃
・人的ミス・不注意による情報漏えい
・技術的な問題
・知識や意識の不足によるリスク

悪意のある外部からの攻撃

入社すると、日常で生活している時よりもメールなどの利用頻度が上がるため、悪意のある外部からの攻撃に狙われる可能性も比例して上がります。 そのため、外部からどのような攻撃を受ける可能性があるのかを説明する必要があります。
悪意のある外部からの攻撃の例は以下のとおりです。

・ハッキング
・フィッシング
・マルウェア
・ランサムウェア など

どのような経路で攻撃されるのか、どのような被害を受ける可能性があるのかも併せて解説することで、新入社員にもより身近に感じてもらえます。

人的ミス・不注意による情報漏えい

企業の重大インシデントの情報漏えいの原因のうち46%は、人的な原因によるものといわれています。
そのため、人的ミス・不注意により情報漏えいが起こる可能性があることを伝えます。
例えば、従業員によるデータの誤削除・誤送信、人的ミスによる情報の漏えいやシステム障害などが挙げられます。
自社の業務に近い内容の被害事例を資料などに盛り込むことで、新入社員の理解度が上がります。

技術的な問題

ソフトウェアのアップデートなどを個別対応にしている場合、技術的な問題によるセキュリティリスクを理解しておかなければ、重要であるにもかかわらず忙しいなどの理由で後回しにされてしまう可能性もあります。
そのため、技術的な問題によるセキュリティリスクも知ってもらう必要があります。
ただ、あまりに深い内容だと新入社員が自分には関係ないと感じてしまうため、あくまで関わりがある内容に留めておくことをおすすめします。

知識や意識の不足によるリスク

近年、企業経営において「コンプライアンス」が注目されています。
新入社員のコンプライアンスに対する知識や意識が不足していると、気づかぬ内に違反が発生し、罰則や処分が発生したり、SNSなどで情報が拡散し企業の社会的信用が失墜したりしてしまう可能性があります。
そのため、コンプライアンスの知識・意識不足によるリスクも教育しましょう。 リスクが理解できれば、問題行動を起こす新入社員が発生する可能性を減らせます。

具体的な対処法

新入社員に一般的な情報セキュリティの知識のみを伝えても、知識の理解だけで終わってしまいます。そのような場合、実際の行動に反映できない可能性が高いため、リスクへの具体的な対処法を伝えます。
伝えておきたい具体的な対処法の例は以下のとおりです。

・パスワードの適切な作り方・管理方法
・電子メールの基本的な使い方
・自社のセキュリティルールと自社連絡網
・情報機器やデータの取扱い
・セキュリティインシデント発生時の対処法

パスワードの適切な作り方・管理方法

企業の重要な情報を守るためには、強いパスワードの作り方や、適切な管理方法を知っておく必要があります。 もしパスワードの作り方や管理がずさんな場合、情報漏えいにつながってしまう恐れがあります。
パスワードは入社してすぐに使うことも多いため、新入社員向けのセキュリティ教育に組み込みましょう。
最初に学んでもらうことで、不要なセキュリティリスクを抑えられます。

参考コラム 安全なパスワードの作り方。覚えやすく、使い回しにならない方法をパスワード3原則から考える。

電子メールの基本的な使い方

今の新入社員は、友人などへの連絡にはSNSを使用することが多く、メールを使い慣れていない場合が多い世代です。 そのため、電子メールの基本的な使い方を伝えておきます。
伝えておきたい内容は以下のとおりです。

・TO・CC・BCCの使い分け
・データの暗号化 など

また、不正メールの特徴・対処法も併せて解説しておくとより効果的です。

自社のセキュリティルールと自社連絡網

基本的な情報セキュリティ教育をした上で、社内独自のセキュリティルールについても教育しましょう。
社内のルールを決めていたとしても、周知しなければ求めている効果は得られません。 ただ、研修などで一度伝えても恐らく覚えられないため、ポータルサイトや冊子など、1つの情報としてまとめておくことをおすすめします。
このように、いつでも確認できるような形にしておくと新入社員としてはすぐに確認でき、担当者としても何度も問い合わせを受けなくて済むため、お互いに効率のよい仕事ができます。

情報機器やデータの取扱い

会社で使用する情報機器やデータは会社の資産ですが、新入社員の中にはそのような意識がない場合もあるかもしれません。
そのため、情報機器やデータの取扱いについても教育に組み込みましょう。
伝えておくべき内容の例は、以下のとおりです。

・PCで私物の外部記憶媒体を利用しない
・勝手にソフトウェアをインストールしない
・自宅へデータを持ち帰らない など

会社の資産の取り扱い方を新入社員に伝えれば、情報漏えいなどのリスクが軽減できます。

参考コラム 外出中は要注意。スマホやPCを保護するために必要な対策とは

セキュリティインシデント発生時の対処法

どれだけセキュリティ教育を行っても、情報漏えいなどを100%防止することはできません。
そのため、万が一有事が起こった際には、まずどこに連絡すればよいのかも伝えておく必要があります。
すぐに連絡ができる状態を作っておくことで、連絡が遅れ被害が拡大することを防ぐことができます。

新入社員の情報セキュリティ教育に使える資料・サイト

新入社員の情報セキュリティ教育の資料などを作成する際、どこから情報を得ればよいか悩んでしまう方も多いはずです。
そこで本章では、新入社員の情報セキュリティ教育に使える資料・サイトをご紹介します。

映像で知る情報セキュリティ

映像で知る情報セキュリティ
出典:IPA 映像で知る情報セキュリティ

「映像で知る情報セキュリティ」は、情報セキュリティ上のさまざまな手法や対策について、動画で学べるシリーズです。
おおよそ10分程度の映像コンテンツが中心のため、業務の隙間時間に視聴できます。
アニメやドラマ形式で解説するなど理解しやすいよう工夫されているため、新入社員の情報セキュリティ教育にピッタリでしょう。

情報セキュリティ理解度チェック

情報セキュリティ理解度チェック
出典:JNSA 情報セキュリティ理解度チェック

「情報セキュリティ理解度チェック」は、日本ネットワークセキュリティ協会が提供している理解度チェックツールです。
このサイトでは、自組織の職員をユーザ登録し、受講させることができ、管理者は受講結果を確認することができます。
知識レベルを客観的に確認するために最適なサイトです。

インターネットの安全・安心ハンドブック

インターネットの安全・安心ハンドブック
出典:NISC インターネットの安全・安心ハンドブック

「インターネットの安全・安心ハンドブック」は、内閣サイバーセキュリティセンターが提供する、インターネットを活用する際に気を付けるポイントに重点を置いたハンドブックです。
SNSやスマホなど、時代に即した内容に常にアップデートされています。また、用語集が充実しており、新入社員に最適な内容となっています。

新入社員への情報セキュリティ教育を効果的に行うためのポイント

情報セキュリティ教育を行ったものの、新入社員のその後の行動が変わらなければ、わざわざ時間を取った意味がありません。
そこで本章では、新入社員への情報セキュリティ教育を効果的に行うためのポイントを3つご紹介します。

当事者意識を持ってもらうよう工夫する

デジタルデバイスを利用する以上、サイバー攻撃などの何らかのトラブルに巻き込まれる可能性はゼロではありません。
情報セキュリティに関するリスクは、新入社員を含めた全社員が抱えています。
情報セキュリティ研修を意味のあるものにするためには、新入社員に当事者意識を持ってもらうことが最も重要です。
仕事の場面だけでなく、日常生活で経験する可能性がある内容をとりあげるなど、新入社員にとっても身近な内容であることが伝わるよう工夫しましょう。

日頃から活用できる実践的な内容にする

情報セキュリティ教育を実施しても、知識を活用できる場がなければ意味がありません。
また、勉強した内容も次第に忘れてしまうことがあります。 そのため、情報セキュリティ研修を実施するのであれば、日頃から活用できるような実践的な内容にすることをおすすめします。
例えば部署ごとに「業務で情報セキュリティを高めるにはどのようにすればよいか」といったディスカッションを実施し、実務で活用できる内容にすることで、セキュリティ教育に意味を持たせられます。

セキュリティ事故による脅威を具体的に説明する

新入社員にとって、セキュリティ事故の脅威は言葉としては理解できても、いまいちピンとこない方も多いはずです。
また「自分の部署には関係ないこと」「漏えいして問題がある情報がない」と誤解している新入社員もいるかもしれません。
新入社員へ情報セキュリティ教育を行う際は、セキュリティ事故による脅威を具体的に説明し、全員が高いセキュリティ意識を持つことが重要であることを理解してもらう必要があります、
例えば、情報漏えいが起きると会社は社会的信用が失墜することや、個人情報保護法に違反すると罰則が設けられているなど、具体例を用いて説明し、危険性を理解してもらいましょう。

新入社員向けの情報セキュリティ教育の方法

本章では、新入社員向けの情報セキュリティ教育の方法を5つご紹介します。
それぞれにメリット・デメリットがあるため、自社に適している方法を選んでください。

集合型研修

情報セキュリティ教育で最も一般的な方法が、集合型研修です。
業務から離れ、落ち着いた空間でセキュリティ教育に集中できたり、一度で複数の新入社員に対して均等にセキュリティ教育が行えたりする点がメリットです。
一方で、会場のセッティングに手間がかかる、関係者のスケジュールを合わせるのが大変などのデメリットもあります。

オンライン研修

オンライン研修は、新入社員や講師が同じ場所に集合せず、オンライン上で開催する方法です。
一般的に、ZoomやTeamsなどのWEB会議ツールを利用して行われることが多くなっています。
場所を選ばずインターネット環境さえあればどこからでも参加できるほか、録画も同時に行える点が大きな特徴です。
ただ、受講者と講師が別室にいるため集中力を保ちにくい、パソコンで別の作業ができてしまうといった注意点もあります。

eラーニング

eラーニングとは、インターネット上の動画コンテンツを活用しながら、情報セキュリティに関する知識を学習する方法のことです。
オンライン上にコンテンツがあるため、新入社員は時間や場所にとらわれることなく自分の好きな時間に動画を視聴できます。
また、動画の視聴後にテストし、その結果を集計できるケースもあるため、新入社員の理解度を把握できる点も魅力といえるでしょう。
ただ、eラーニングのシステムには機能に差があるため、自社に合った製品を導入する必要がある点には注意が必要です。

確認クイズ・テスト

集合型研修やeラーニングで知識を得た後は、受講者の理解度を測るため確認クイズ・テストを行いましょう。
教育担当者が新入社員の理解度を把握できるほか、新入社員にとっても学んだ内容をアウトプットする場ができるため、知識の定着に役立ちます。

標的型攻撃メール訓練

知識を教育することは非常に重要なことですが、実践でその知識を活用できなければ意味がありません。
そのため、学んだ内容をもとに、標的型攻撃メール訓練で実践的な教育を行うのも効果的です。
これにより、情報セキュリティ教育で学んだ内容が正しく理解できている新入社員と、そうでない新入社員を可視化できます。
可視化できればフォローすべき従業員がわかるため、その後の教育計画も立てやすくなります。

標的型攻撃メール訓練サービス「ALSOK 標的型攻撃メール訓練」のご紹介

新入社員に実践的な情報セキュリティ教育を行いたいとお考えであれば、「ALSOK 標的型攻撃メール訓練」の利用をご検討ください。
ALSOK 標的型攻撃メール訓練では、疑似の標的型攻撃メールを送信し、開封率やメールアドレスごとの結果を報告書にまとめてご提供します。 これにより、情報セキュリティ教育の効果を確認できるほか、フォローすべき従業員が可視化できます。
なお、訓練に際したシステム構築は不要で、最低限の運用負担で利用可能です。 そのため、準備に際してご担当者様に大きな負担は発生しません。 効果的かつ手軽な情報セキュリティ教育の方法をご検討中であれば、お気軽にお問い合わせください。

まとめ

今の新入社員はスマートフォンやパソコンなどの操作には慣れているものの、情報セキュリティの重要性に関しては深く認識できていない場合も多くあります。
もし重要性を認識しないまま業務に従事してしまうと、思わぬところで大きなトラブルが発生してしまう可能性があります。
そのため、入社時に意味のある情報セキュリティ教育を実施し、重要性の理解や社内ルールの徹底を目指しましょう。
もし、実践的かつ手軽な情報セキュリティ教育の方法をお探しであれば「ALSOK 標的型攻撃メール訓練」をご利用ください。
従業員の情報セキュリティへの理解度が可視化できるため、教育の効果の確認や、フォローすべき従業員を見つけるお手伝いが可能です。

セキュリティ無料相談