-
- エスカ&レン:
- 今月もやってきました!「エスカとレンのセキュリティ通信」のお時間です。
-
- エスカ:
- この時期は、新入社員の受け入れ準備などで情シス担当者が最も忙しい時期ですよね。そこに「研修もしっかりやるように」という指示が加わると、どうすればいいか途方に暮れる方も多いのではないでしょうか。
-
- レン:
- 特に少人数の体制だと、ゼロから研修資料を作り上げる時間はなかなか取れないのが現実だよね。
-
- エスカ:
- そんな担当者の方もご安心ください!IPA や NISC が公開している無償資料の選び方・組み合わせ方を、この記事でわかりやすくまとめました。これを読めば、最短で明日からでも質の高い研修が始められますよ!
-
- エスカ:
- 今回ご紹介するトピックスは、「情報セキュリティ研修資料の活用ガイド」です!
-
- レン:
- まずは「何のために研修をやるのか」というゴールを決めるところから、詳しく見ていこう。
-
- エスカ:
- はい!それでは本編スタートです!
まず「研修のゴール」を決めよう
資料を選ぶ前に、まず5分だけ「この研修で何を達成したいか」を整理しましょう。
ゴールがぼんやりしたまま始めると、伝えたいことが絞れず、新入社員の記憶に残りません。
おすすめのゴール設定例(2〜3つ選ぶだけでOK)
| ゴール例 | こんな会社に向いている |
|---|---|
| 「会社の情報は自分が守る」という意識を持ってもらう | 全社共通の基本意識づけ |
| インシデント発生時に「すぐ報告できる」ようになる | 報告漏れや初動の遅れを防ぎたい組織 |
| パスワードや端末の基本ルールを守れるようになる | テレワーク導入済みの企業 |
| フィッシングメール・不審なリンクに引っかからない | メールを多用する業種 |
-
- エスカ:
- ゴールは「多い」より「絞る」のが効果的なんですよ!新入社員の方に「3つのことを覚えてほしい」と伝えるほうが、10項目を羅列するよりずっと心に残りますからね。
【60分コース】タイムテーブル付き・基本の研修プログラム
下記は、多忙な情シス担当者でもすぐに実施できる60分の標準研修プログラムです。
コピーして社内資料に貼りつけるなど、そのままご活用ください。
【テンプレート】情報セキュリティ新人研修プログラム
▼目的
自社の情報資産を守るための基本知識と行動習慣を身につける。
▼タイムテーブル
| 0:00〜0:05 | オープニング(自己紹介・本日のゴール共有) |
|---|---|
| 0:05〜0:20 | パート1:なぜ情報セキュリティが必要か?(身近な事例紹介) |
| 0:20〜0:40 | パート2:守るべき3つのルール 1.パスワードと認証 2.メール・ファイル・USBの取り扱い 3.SNS・社外での注意事項 |
| 0:40〜0:50 | パート3:もしものときはどうする?(インシデント発生時の報告フロー) |
| 0:50〜0:55 | チェックリストで理解度確認(本記事末尾のシートを配布) |
| 0:55〜1:00 | 質疑応答・まとめ |
-
- エスカ:
- まずは「何を達成したいか」という軸をしっかり決めることが、研修成功の近道ですね。整理に5分かけるだけで、伝えたいことが明確になります。
-
- レン:
- それに、この60分プログラムは多忙な情シスの方でもそのまま使える構成になっているから、準備の負担も少なくて済むよね。
-
- そふくリス:
- もし30分しか時間が取れなくても大丈夫!そのときは大事なポイントに絞って、「確実に伝えること」を優先すればいいんだ!
信頼できる公的資料:これを使えば間違いなし
前章の60分プログラムは「パート1:なぜ必要か」「パート2:具体的なルール」「パート3:もしものときの対応」の3部構成です。
このセクションでは、各パートで実際に使える公的機関の資料を、活用タイミングとリンク付きで紹介します。
すべて無償公開のため、予算ゼロでも質の高い研修が準備できます。
利用上の注意: 引用・転載の際は出典の明記(資料名+URL)が必要です。資料を加工・編集した場合は「〇〇を基に作成」と明記してください。詳細は各機関の公式サイトにある利用規約をご確認ください。
IPA「情報セキュリティハンドブック(ひな形)」
活用タイミング: 研修前の準備 / パート2の補足配布資料として
IPA が公開するセキュリティハンドブックのひな形です。
赤字部分を会社のルールに沿って記入するだけで、自社専用のハンドブックが完成します。パート2(守るべきルール)の講義後に配布すれば、新入社員がいつでも手元で確認できる「おさらい冊子」として機能します。
出典: IPA「付録4:情報セキュリティハンドブック(ひな形)」
https://www.ipa.go.jp/security/guide/sme/about.html
IPA「中小企業の情報セキュリティ対策ガイドライン」
活用タイミング: 研修プログラム全体の設計・根拠づくりに
中小企業が取り組むべきセキュリティ対策を体系的にまとめたガイドラインです。「何を・どの順番で教えるか」に迷ったときの羅針盤として活用できます。研修担当者が全体像を把握するための必読資料といえるでしょう。
出典: IPA「中小企業の情報セキュリティ対策ガイドライン第3.1版」
https://www.ipa.go.jp/security/guide/sme/about.html
IPA「情報セキュリティ教材・ツール」
活用タイミング: パート1〜3 すべてに対応する素材を一括で探す
業種・対象・テーマ別に整理された教材・ツールの一覧ページです。「パート1の意識づけ用の素材が欲しい」「パート2のクイズ形式の教材が欲しい」など、目的に合ったものをここから効率よく探せます。
出典: IPA「情報セキュリティ教材・ツール」
https://www.ipa.go.jp/security/sec-tools/index.html
IPA「映像コンテンツ一覧」
活用タイミング: パート1「なぜ情報セキュリティが必要か?」の導入として
冒頭の「なぜやるのか」を伝えるフェーズに最適です。サイバー攻撃の被害事例をテーマにした IPA の映像を上映することで、新入社員が「自分ごと」として捉えやすくなります。
説明だけの研修より動画を挟むほうが、その後の講義への集中度も上がります。
出典: IPA「映像コンテンツ一覧」
https://www.ipa.go.jp/security/videos/list.html
IPA「教育・学習(企業・組織向け)」
活用タイミング: 担当者自身の事前学習 / 研修コンテンツの参照元として
IPA「ここからセキュリティ!」の企業・組織向け教育コーナーです。
「何を教えれば良いか」を担当者が体系的に学ぶための出発点として活用できます。
研修内容の根拠を確認したいときにも役立ちます。
出典: IPA「教育・学習(企業・組織向け)|ここからセキュリティ!」
https://www.ipa.go.jp/security/kokokara/study/company.html
JIPDEC「個人情報管理の重要性」
活用タイミング: パート2「守るべきルール」の補足として
プライバシーマーク制度を運営する JIPDEC が提供する、個人情報保護の社内教育用資料です。
顧客情報を扱う業務がある場合は、パート2の「情報の取り扱いルール」と合わせて紹介することで、研修内容に説得力が増します。
出典: JIPDEC「個人情報の取り扱いがわかる!」
https://privacymark.jp/guideline/wakaru/index.html#tools
国家サイバー統括室「インターネットの安全・安心ハンドブック 中小組織向け抜粋版」
活用タイミング: パート2「守るべきルール」の副読本 / 研修後の自習用として
国家サイバー統括室(旧 NISC)が作成した、イラストが多く読みやすい中小企業向けのセキュリティハンドブックです。
テレワーク・SNS・スマートフォンなど、新入社員の日常に近いテーマが扱われており、パート2の補足説明や研修後の自習資料として最適です。
出典: 国家サイバー統括室「インターネットの安全・安心ハンドブック」
https://security-portal.cyber.go.jp/guidance/handbook.html
JPCERT/CC「新入社員等研修向け情報セキュリティマニュアル」
活用タイミング: パート1〜3 すべてに対応 / 研修テキストとしてそのまま使用可
JPCERT コーディネーションセンターが、新入社員研修を想定して作成したマニュアルです。
一般的な脅威から具体的な対策、インシデント報告の流れまでカバーしており、今回の60分プログラムの補助テキストとして配布するだけで活用できます。
出典: JPCERT/CC「新入社員等研修向け情報セキュリティマニュアル」
https://www.jpcert.or.jp/magazine/security/newcomer.html
-
- エスカ:
- IPA や NISC、JPCERT など、公的機関の資料は本当に充実していますね!どれも信頼性が高く、そのまま研修に使えるのが嬉しいポイントです。
-
- レン:
- 動画やハンドブックなど、形式もさまざまだから、自社のスタイルに合わせて組み合わせられるのも便利だよね。
-
- そふくリス:
- 出典を明記すれば無償で使えるものばかり!予算がなくても、これらを活用すれば質の高い研修ができるよ!
テレワーク時代に必ず伝えたいこと
リモートワークが当たり前になった今、「オフィスの外でも同じセキュリティ意識を持つこと」が重要です。
特に新入社員は「会社の外だから大丈夫」という感覚を持ちやすいため、研修でしっかり意識づけしましょう。
テレワーク中に必ず守らせる5つのルール
1.Wi-Fiは自宅または会社が認めた回線のみ使用する(カフェや公共の無線LANは原則禁止)
2.PCの画面を他人に見せない(家族であっても業務画面は見せない)
3.端末から離れる際は必ずロックする(Windowsキー + L が最速)
4.業務データをUSBメモリや個人のクラウドに保存しない
5.トラブルが起きたら、隠さず・すぐに・担当者へ報告する
-
- エスカ:
- インシデントは「起きたこと」より「隠したこと」のほうが、会社へのダメージが大きくなります。「報告しやすい雰囲気」を作ることも、情シスの大切な役割なんですよ!
【そのまま使える】受講後セルフチェックシート
以下のチェックシートは、研修終了後に配布して理解度を確認するためのものです。
コピーや印刷、社内資料への貼りつけはご自由にお使いください。
新入社員向け 情報セキュリティ セルフチェックシート
※IPA「情報セキュリティ対策セルフチェックシート」を参考に作成
◆ 基本知識チェック
1.パスワードは8文字以上で、英大文字・小文字・数字・記号を組み合わせて設定することを理解している
2.同じパスワードを複数のサービスで使い回すことの危険性を理解している
3.不審なメールのリンクや添付ファイルは、上司や情シスに確認してから開くことを知っている
4.SNSに業務に関わる情報(写真、プロジェクト名など)を投稿してはいけないと理解している
5.USBメモリなどの外部記憶メディアは、会社が許可したものだけを使うことを知っている
◆ 行動チェック
1.自分のPCに画面ロック(パスワード)が設定されている
2.業務用PCでのカフェなどの公共Wi-Fi利用に関するルールを知っている
3.インシデント(ウイルス感染、情報漏洩の疑いなど)発生時の報告先を知っている
4.OSとソフトウェアを定期的にアップデートする重要性を理解している
5.会社の「情報セキュリティポリシー」(または「情報取り扱いルール」)がどこにあるか知っている
◆ 採点の目安
| チェック数 | 評価 |
|---|---|
| 10/10 | 合格!自信を持って業務に臨んでください。 |
| 7〜9/10 | あともう一歩!チェックできなかった項目を担当者に確認しましょう。 |
| 6以下 | 要注意。再度研修資料を確認し、不明点は必ず情シスに相談してください。 |
また、JNSA(NPO日本ネットワークセキュリティ協会)が提供する「情報セキュリティ理解度セルフチェック」サイトでは、より詳細な自己診断も無償で受けられます。
研修後の追加確認にぜひご活用ください。
出典: JNSA「情報セキュリティ理解度セルフチェック」
https://slb.jnsa.org/slbm/
-
- エスカ:
- セルフチェックシートを使うことで、新入社員の皆さんがどこまで理解できたか一目でわかりますね。研修の締めくくりに、ぜひ活用してください!
まとめ:「完璧な研修」より「必ず届く研修」を
-
- エスカ:
- 今回の内容をまとめましょう!大切なのは「完璧な資料作り」ではなく、新入社員に「セキュリティは自分ごと」だと感じてもらうことでしたね。
-
- レン:
- うん。多忙な情シス担当の方にこそ、IPA や NISC、JPCERT の公式資料をフル活用してほしいな。ポイントをおさらいすると、まずは「ゴールを2〜3つに絞ること」。
-
- エスカ:
- そして「60分のタイムテーブル」で効率よく進め、最後は「セルフチェックシート」で理解度を可視化することですね。
-
- レン:
- これなら新年度の忙しい時期でも、質の高い研修がすぐに始められそうだね。
-
- エスカ:
- はい!みなさんのスタートダッシュに、ぜひこの記事をお役立ていただければ嬉しいです!
前回の記事はこちら!
【要注意】社長からの LINE 依頼、Apple からのSMS…その連絡、本当に安全ですか? -セキュリティ通信-
無料セミナーのご案内
