クラウドサービス(Box、Backlog、Canvaなど)の普及により、業務の効率化が進む一方で、「社員の設定ミス一つ」「たった一通のフィッシングメール」から数億円規模の情報漏洩損害に発展するリスクが、いま民間企業で急増しています。
しかし、いざ社内セキュリティ研修をやろうとしても、以下のようなお悩みを抱える担当者様は少なくありません。
- 「専門用語ばかりの研修では、社員が退屈して聞いてくれない」
- 「毎年の研修資料をゼロから作る時間も、講師を雇う予算もない」
本連載では、日本の民間企業が今まさに直面しているリアルなリスクをもとに、そのまま社内研修の「講義台本」として使える構成で、全8回にわたりセキュリティの基礎を分かりやすく解説します。
本連載について
本連載は、現在STORESで販売中の『企業向け情報セキュリティ研修動画〜明日から実践できる、組織と自分を守るための「5つの行動宣言」と護身術〜』の講義内容を全編書き起こしたものです。
動画パッケージの5分間のサンプル動画をYouTubeで無料公開していますので、実際の分かりやすさやクオリティをぜひご確認ください。
- 民間企業向け情報セキュリティ研修パッケージ:55,000円(税込)
👇YouTubeでサンプル動画を視聴する
※「プロに直接講義してほしい」という組織向けに、講師派遣・リアル研修プランも承っております。
企業向け情報セキュリティ研修 〜明日から実践できる、組織と自分を守るための「5つの行動宣言」と護身術〜
皆さん、こんにちは。
日々の業務でお忙しい中、この動画をご視聴いただきありがとうございます。
『セキュリティ研修』と聞くと、『また面倒なルールの話か』『ITの難しい専門用語ばかりで退屈そうだな』と思われる方も多いかもしれません。
しかし、安心してください。
この研修では、難しいプログラミングやITの専門知識は一切お話ししません。
テーマはただ一つ。
明日からの皆さんの『意識』と『行動』をほんの少しだけ変えて、会社、そして皆さん自身をサイバー犯罪から完璧に守ることです。
なぜ今、すべての社員に研修が必要なのか?
今、なぜIT部門だけでなく、すべての社員がセキュリティを学ぶ必要があるのでしょうか。
理由は明確です。
ここ数年で、私たちの働き方は大きく変わりました。
テレワークが当たり前になり、自宅や外出先から会社のシステムにアクセスしたり、クラウドを使って取引先とデータを共有したりする機会が劇的に増えています。
便利になった一方で、これはサイバー犯罪者にとっても『社内に侵入するチャンスが無限に増えた』ことを意味します。
どれだけ会社が何億円もかけて最新のセキュリティシステムを導入しても、それを扱う私たち一人ひとりの『ほんの一瞬の油断』や『設定ミス』があれば、高い壁は一瞬で突破されてしまうのです。
現代のサイバー攻撃が狙っているのは、IT部門のサーバーではなく、あなた自身のパソコンやスマートフォン、そして『あなたの心の隙』なのです。
この研修の「ゴール」と全体像
【本研修のゴール】 難しい用語の暗記ではなく、明日からの「行動」を実際に変えること
【コースマップ(全8章)】
- 第1章:そもそも「情報セキュリティ」とは?
- 第2章:情報漏洩の致命的な代償と「法律」
- 第3章:狙われるのは「人の心」:ソーシャルエンジニアリングとメール
- 第4章:マルウェアの感染経路と「Emotet& 二重脅迫」の恐怖
- 第5章:テレワーク・外出先・SNSに潜むリスク
- 第6章:クラウドサービス誤設定の落とし穴
- 第7章:インシデント発生!その時あなたが取るべき「初動10分」
- 第8章:今日から守る!「私の5つの行動宣言」
この研修のゴールは、難しい用語を暗記することではありません。
動画を見終えたあと、皆さんが『明日からの行動を実際に変えられるようになること』です。
そのために、本研修は全8つの章で構成されています。
前半では、セキュリティの基本や、万が一事故が起きたときの恐ろしい代償について。
メールやQRコード、SNS、クラウドサービスに潜む具体的な罠と見破り方。
そして後半では、もし事故が起こってしまったときの正しい初動対応と、明日からすぐにできる5つの行動宣言を学びます。
デジタル社会を生き抜く『一生モノの護身術』として、ぜひリラックスして最後までお付き合いください。
それでは、さっそく本編へ進んでいきましょう。
第1章:そもそも「情報セキュリティ」とは?
第1章では、すべての基本となる『情報セキュリティ』の定義と、私たちが日常業務で守るべき『情報資産』について学びます。
皆さんは普段、『セキュリティ対策』と聞いてどのようなことを思い浮かべるでしょうか。
『何だか難しそうだからIT部門に任せておけばいい』『うちの会社は泥棒に狙われるような大層な情報は扱っていないから大丈夫』。
もし、そんな風に思っているとしたら、その油断こそが最も危険です。
なぜなら、現代のサイバー犯罪者が狙っているのは、会社の金庫に眠る極秘データだけではないからです。
まずは、情報セキュリティが『なぜあなた自身の仕事、そして生活に直結する問題なのか』、その本質から見ていきましょう。
あなたの部署のPCが、明日すべて使えなくなったら?
ここで、皆さんに少し生々しい想像をしていただきたいと思います。
もし、明日会社に出社した時、あなたの部署のすべてのパソコンがウイルスに感染し、画面が真っ暗なまま、一切起動しなくなっていたら……。
あなたの業務は、何日止まってしまうでしょうか?
メールの送受信もできず、見積書や請求書の発行もできません。
これまで書き溜めてきた提案書も、顧客の連絡先リストも、スケジュール表も、何一つ確認できません。
取引先からの電話に『今システムが壊れていて何も分かりません』と謝り続けることになります。
いかがでしょうか。
業務が1日止まるだけでも、会社が被る損失、そしてあなたが受けるストレスは計り知れません。
情報セキュリティとは、決して『どこか遠くのIT部門だけの仕事』ではなく、あなた自身が『明日も安心して仕事を続けられる環境を守るためのもの』なのです。
身近な情報資産の「棚卸し」
「では、私たちが守るべき『情報資産』とは具体的に何を指すのでしょうか。
ここで、ご自身のパソコンのデスクトップや、デスクの周りを思い浮かべてみてください。
会社が守るべき資産には、パソコン本体やサーバー、紙の契約書といった『目に見える有形の資産』だけではありません。
例えば、デスクトップに『一時保存』として置きっぱなしにしている顧客リストのエクセル、ブラウザのブックマークに登録してある業務システムのURL、机の上に貼ってあるログイン用の付箋メモ、そして日常的にやり取りしているビジネスメールの内容。
これらはすべて、形のない『無形の情報資産』です。
『自分は経営機密なんて扱っていない』と思っていても、あなたが毎日何気なく処理している業務データや、同僚とのチャットの履歴、ログインに必要なパスワードの1つひとつが、サイバー犯罪者からすれば、社内ネットワークへ侵入するための『喉から手が出るほど欲しい情報』なのです。
情報セキュリティの「3つの柱」(C.I.A.)
「これらの大切な情報資産を守るために、世界基準で定められている『3つの柱』があります。
アルファベットの頭文字を取って『C・I・A』と呼ばれています。
1つ目は『C』、機密性(Confidentiality)です。
これは『アクセスを許可された人だけが、その情報を見られる状態にすること』です。
いわゆる情報漏洩を防ぐための最も基本的な壁です。
2つ目は『I』、完全性(Integrity)です。
これは『情報が勝手に書き換えられたり壊されたりせず、常に正確で最新の状態に保たれていること』です。
例えば、送金データや契約書の金額が、ウイルスのせいで勝手に書き換えられてしまったら大問題ですよね。
それが、完全性です。
3つ目は『A』、可用性(Availability)です。
実はこれが非常に重要です。
『必要な時に、必要な人がいつでもデータやシステムを使える状態にしておくこと』を意味します。
先ほど想像していただいた『パソコンが使えなくて業務が止まる』という状態は、まさにこの『可用性』が完全に損なわれている状態です。
セキュリティ対策とは、単に情報を隠すこと(機密性)だけではなく、仕事をスムーズに継続させること(可用性)まで含まれているのです。
情報の「整理」と「機密区分」
とはいえ、すべての情報資産を厳重な金庫にしまって、ガチガチに暗号化してしまったら、今度は仕事がやりづらくなってしまいます。
セキュリティのために業務の効率が落ちてしまっては本末転倒です。
そこで企業では、情報の重要度に応じて『極秘』『社外秘』『一般公開』といったグループ分け(機密区分)を行い、それぞれに最適なルールを定めています。
例えば、新商品の設計書や経営計画は『極秘』として限られた人しか見られないようにする。
日常の業務マニュアルや顧客との商談履歴は『社外秘』として社内メンバーだけに共有する。
パンフレットや公式ホームページは『一般公開』として誰でもアクセスできるようにする、といった具合です。
皆さんが日常的に行っている『不要になった社外秘の書類はシュレッダーにかける』『席を外すときは画面をロックする』といった行動は、まさにこのルールに従った正しいセキュリティ活動です。
一人ひとりが『いま自分が触れている情報はどれくらい重要なのか』を意識し、適切に分類して扱うことが、セキュリティの第一歩になります。
第1章 まとめ
第1章のまとめです。
情報セキュリティは、面倒なだけのルールではなく、あなたの『明日の業務を止めないため(可用性を守るため)』にあります。
そして、あなたのデスクの上やパソコンの中にある、一見ありふれたデータやパスワードのすべてが、会社にとって、そしてあなた自身にとっても大切な『情報資産』です。
続く第2章では、これらの資産がもし流出してしまったら、会社やあなた個人にどのような致命的な代償が降りかかるのか。
国内で実際に起きた生々しい事故の裏側と、法律の観点から迫ります。
第1章、お疲れ様でした。
今回の記事(第1回)の内容を含め、全8回の講義を収録した「研修用動画パッケージ」を販売しています。
・資料作成や登壇の準備をゼロにしたい
・専門家による正確な情報を職員に届けたい
・研修の配布用スライドPDFも手に入れたい
そんな方は、ぜひ以下の販売ページをご確認ください。
また、クラウド認証ドットコムでは、 個別の情報セキュリティ研修(オンライン・対面) での教育支援を行っています。
「自庁の独自ルールを盛り込みたい」「職員の理解度を直接確認したい」といったご要望にお応えします。
専門講師が貴組織の課題に合わせたカリキュラムで登壇いたします。
■ 民間企業向け情報セキュリティ研修:連載一覧(全8回)
- 第1回:そもそも「情報セキュリティ」とは?
- 第2回:情報漏洩の致命的な代償と「法律」
- 第3回:狙われるのは「人の心」:ソーシャルエンジニアリングとメール
- 第4回:マルウェアの感染経路と「Emotet & 二重脅迫」の恐怖
- 第5回:テレワーク・外出先・SNSに潜むリスク(物理的・人的脅威)
- 第6回:クラウドサービス誤設定の落とし穴
- 第7回:インシデント発生!その時あなたが取るべき「初動10分」
- 第8回:今日から守る!「私の5つの行動宣言」
