自治体や公的機関を取り巻くサイバー攻撃の脅威は、年々巧妙化しています。
本連載では、全15回にわたり、現場の職員が今日から実践できる情報セキュリティの基礎知識を解説します。
本連載について
本連載は、現在STORESで販売中の『自治体・公的機関向け 情報セキュリティ研修動画パッケージ』の講義内容を全編書き起こしたものです。
研修の導入をご検討中の担当者様は、内容の確認用としてご活用ください。
[→ 動画パッケージの詳細・販売ページはこちら(STORES)]
サンプル動画はこちら👇
講義13:報告ルートの確認と演習
では、具体的に「誰に」「何を」伝えればいいのか。
それを整理しておきましょう。
皆さんの組織には必ず、インシデント(事故)が発生した際の「報告連絡先」があるはずです。
この講義が終わったら、すぐにその電話番号や連絡先を確認してください。
報告すべき「4つの項目」
報告する際は、パニックになって「どうしよう、壊れました!」とだけ伝えても、IT担当者は困ってしまいます。
次の4つを意識して伝えてください。
- いつ(発生日時)
5分前なのか、実は昨日の夕方からおかしかったのか。
- どこで(発生場所や端末名)
自分のデスクなのか、出張先のカフェなのか。
- 何をした、何が起きた(事象)
「メールのリンクを押した」「USBメモリを紛失した」「画面に英語のメッセージが出た」など。
- 現在の状況
「LANケーブルは抜きました」「電源は入ったままです」など。
【ミニ演習】こんな時、あなたならどうする?
ここで、少し想像してみてください。
「あなたは出張帰りの電車で、仕事の資料が入ったカバンを網棚に置き忘れてしまいました。気づいたのは駅を出てから10分後。深夜で、上司とは連絡がつきません。」
あなたなら、どうしますか?
- A:明日、出勤してから上司に相談する。
- B:まずは鉄道会社に連絡し、同時に組織の「緊急連絡窓口」に深夜でも電話を入れる。
正解はもちろんBです。
たとえ上司と連絡がつかなくても、組織全体の管理窓口(ヘルプデスクやCSIRTと呼ばれる部署)は24時間体制、あるいは深夜でも連絡がつくようになっていることが多いです。
「夜遅くに申し訳ないな」と遠慮している間に、カバンの中のパソコンが誰かの手に渡り、ログインを試みられているかもしれません。
最後に:インシデントは「宝の山」
起きてしまった事故は、組織にとって「どこに弱点があるか」を教えてくれる貴重なデータになります。
報告を上げることは、組織を責めるためではなく、二度と同じことが起きないように「守りをアップデートする」ための貢献です。
「おかしいな」と思ったら、迷わず報告。
これが、プロの職員としての最も大切で、最も勇敢な行動です。
⇒講義14:本コースの振り返り
今回の記事(第13回)の内容を含め、全15回の講義を収録した「研修用動画パッケージ」を販売しています。
・資料作成や登壇の準備をゼロにしたい
・専門家による正確な情報を職員に届けたい
・研修の配布用スライドPDFも手に入れたい
そんな方は、ぜひ以下の販売ページをご確認ください。
また、クラウド認証ドットコムでは、 個別の情報セキュリティ研修(オンライン・対面) での教育支援を行っています。
「自庁の独自ルールを盛り込みたい」「職員の理解度を直接確認したい」といったご要望にお応えします。
専門講師が貴組織の課題に合わせたカリキュラムで登壇いたします。
■ 自治体職員向けセキュリティ研修:連載一覧(全15回)
- 講義1:オリエンテーションと本コースのゴール
- 講義2:自治体・企業を狙う最新の脅威
- 講義3:「信頼できるサービス」を見分ける重要性
- 講義4:CIA(機密性・完全性・可用性)を簡単に理解する
- 講義5:職員一人ひとりが「最大の防御壁」であり「最大の弱点」
- 講義6:メール・標的型攻撃の巧妙な手口
- 講義7:パスワード管理と多要素認証(MFA)
- 講義8:SNS利用と情報漏洩の落とし穴
- 講義9:クラウドサービス(SaaS)利用時の注意点
- 講義10:公共のWi-Fiと持ち出しPCのセキュリティ
- 講義11:【ステップアップ】政府や自治体が認めるクラウドの基準とは?
- 講義12:違和感に気づいたら?初動対応の鉄則
- 講義13:報告ルートの確認と演習
- 講義14:本コースの振り返り
- 講義15:これだけは守ってほしい「5つの約束」
リスクと、総務・情シスが定めるべきルール-120x68.png)
