VISASQ Dev Blog

ビザスク開発ブログ

日本向け・シンガポール向けのセキュリティトレーニングを作成した話

こんにちは、ビザスクITチームのつみちゃんです!この記事は、アドベントカレンダー18日目の記事です。日本向け・シンガポール向けのセキュリティトレーニングを作成した話をします。

adventar.org

セキュリティトレーニングを作成した背景

ビザスクでは、入社時にセキュリティトレーニングを実施していましたが、全従業員向けには定期的なフォローアップ研修が実施できていないという問題がありました。

また、日々の業務では以下のようなセキュリティに関する懸念がありました:

  • 本人確認や偽のセキュリティ警告に関する問い合わせが寄せられること。
  • 社員との画面共有中に、Chromeの更新エラーが表示されているのを確認する場面があったこと。
  • ニュースで連日のように取り上げられるサイバー攻撃の増加。

これらの問題や懸念を踏まえ、トラブルやインシデントを未然に防ぐため、セキュリティトレーニングを実施することとなりました。 全社員を対象としたセキュリティトレーニングを実施することになりましたが、ビザスクには日本の他に、シンガポールに拠点があり、拠点のメンバーは英語ネイティブです。そのため、日本語のみならず、英語で資料と動画を作成する必要がありました。

動画形式を採用した理由は、自身がYouTubeやUdemyを活用して学習する中で、資料を読むよりも理解が深まりやすいと感じた経験からです。特に英語の資料は、動画で補完することで、より効率的に内容を伝えられると考えました。 なお、外部のセキュリティトレーニングサービスを利用する選択肢もありましたが、自社の課題に合わせた内容を作成できることと、コスト最適化の観点から自作することを決定しました。

この記事では、他社のセキュリティトレーニング内容に興味がある方や、海外拠点向けに英語研修動画を作成したいと考えている方に向けて、今回の研修に盛り込んだ内容や作成方法を解説します。

今回のセキュリティトレーニングで伝えたかったこと

今回のセキュリティトレーニングで最も伝えたかったのは、「会社の情報資産はとても大切なものなので、全員で協力して守っていきましょう!」 ということです。

会社が保有する情報資産は重要な経営資源の一つであり、これらはサイバー攻撃や情報漏洩、人的ミスなど、さまざまな脅威にさらされています。これらの脅威から情報資産を守るためには、適切なセキュリティ対策が必要不可欠です。 この研修を通じて、一人ひとりが情報セキュリティの重要性を理解し、適切な行動を取ることで、社内全体のセキュリティレベルを向上させることを目指しました。

資料作成から公開までの流れ

資料作成から公開までの流れは下記の通りです。

日本版

  1. ITチームのメンバーで何をトピックとして盛り込むかを検討する
  2. 盛り込むトピックを決めてスライドに書く
  3. 理解度テストを作成する
  4. 台本を作成する
  5. リアルタイムで研修を実施する

シンガポール

  1. 日本向けに作成したスライドと理解度テストを英語に翻訳する
  2. 台本をChatGPTで作る
  3. 画面共有する形で録画し、研修動画をZoomで作成する
  4. スライド、動画、理解度テストを公開する
  5. 盛り込んだトピック
  6. メンバーで話し合い、決めたトピックは下記の通りです。

1. 脅威と対策

①OSやソフトウェアアップデートの重要性

日頃からアナウンスしておりますが、脆弱性の修正や機能の追加・改善のため、改めてOSやソフトウェアのアップデートを呼びかけました。

②添付ファイルに注意

ファイルを開くことでウイルス感染するリスクがあるため、送信者、メールの本文、添付ファイル名などを注意深く確認して開くように周知しました。

③フィッシング

フィッシングの定義と不審な宛先から送信されたURLに気をつけるように記載しました また普段利用しているサービスはOktaからログインするように周知しました。

④本人認証

従来のパスワード認証のみではパスワード漏洩リスクがあるため、昨今は多要素認証が必須とされています。そのため、不正アクセスを防ぎ、情報セキュリティを守るために重要であることを強調しました またビザスクでは、「シングルサインオンの採用」「共通アカウントのパスワード管理」「生体認証などの高度な認証方式を推進」していることを紹介し、セキュリティ強化のみならず、働き方の変化に対応したり従業員の利便性を高める効果があることを示しました

⑤外出時に注意したいセキュリティ

外出時は、第三者からの情報の盗み見や盗聴、貸与品の紛失や盗難が発生する可能性があることを話しました。 また万が一、紛失・盗難にあった場合は、リモートでロックしたり、ワイプできるため、すぐにITチームに連絡してほしいことを伝えました

マルウェアランサムウェア

マルウェアランサムウェアの定義と気をつけて欲しいことについて解説しました

⑦偽セキュリティ警告

Webページを閲覧している時に偽セキュリティ警告が表示されることがあること、表示された電話番号には絶対に電話しないことを伝えました。

2. 2024年のセキュリティのトレンドや動向

ランサムウェアの被害は過去3年で3倍となっていることやビジネスメール詐欺の被害も世界的に増加傾向であることを取り上げました サイバー攻撃の増加、リモートワークやクラウドサービスの増加、ID・PW認証の限界という背景から各サービスで多要素認証の義務化によるセキュリティの強化が図られていることを例を挙げて解説しました。 例)

  • GitHubの多要素認証義務化
  • Salesforceの2段階認証義務化
  • Google Workspaceの他要素認証の義務化

シンガポール向けに英語版の動画作成

日本向けに作成した資料を基に、シンガポール拠点メンバー向けに英訳し、研修動画を作成しました。 台本の作成にはChatGPTを活用しました。例えば、「あなたは情報システム部のメンバーです。シンガポール拠点向けに英語で研修動画を作成したいと考えております。台本のサンプルを作成してください。」と依頼するだけで、台本のサンプルをすぐに作成してくれます。

そのため、ChatGPTを使いながら台本の流れを整えて、細かいニュアンスや発音しづらい単語は話しやすいように自分で翻訳しました。ChatGPTおかげで、47スライド分の台本を1から作成するよりも遥かに効率的に台本を作成することができました。 動画の作成は、Zoomで資料を画面共有する形で録画し、iMovieを用いて編集しました。

今回の成果と感想

今回は日本向け、シンガポール向けにセキュリティトレーニングの資料を作成し、研修を実施することができました。 全従業員向けのセキュリティトレーニングの実施は初めてでしたが、全体的に好評で、研修を通じて「セキュリティの基本ルールを理解できて良かった」や「いつもビザスクを守ってくれてありがとう」といった声が寄せられました。 従業員からいただいたコメントから、セキュリティ意識が高まり、社内の情報漏洩リスクが低減されただけでなく、ITチームへの信頼がさらに向上したと考えております。

今後はこうしたい、改善の余地など

今回、日本向けにはリアルタイム研修を、シンガポール向けには動画研修を実施しました。資料を配布するだけよりも効率的に学習できるようにしたため、動画研修は一定の成功を収めたと感じています。ただし、実はリアルタイムで研修を行うほどの英語力に自信がなかったことも動画研修を採用した理由の一つでした。 これを良いきっかけとして、次回は積極的にチャレンジしていきたいと思っています。特に、メンバーとの関係を深めるためにも、その場で質問に答えられるリアルタイム研修を実施し、自身のスキルアップにもつなげたいと考えています。