教育のバリエーションを広げ、より発展的なセキュリティ教育を目指しています!
- 株式会社ワンキャリア
- CTO・田中様
セキュリティエンジニア・蟹様
コーポレートエンジニア兼SRE・野田様
株式会社ワンキャリア様は、日常的に情報セキュリティに関する取り組みを行っており、その一環で情報セキュリティ教育クラウド『セキュリオ』を積極的に活用されています。
今回は、セキュリティに関する取り組みや具体的なセキュリオの運用方法や成果について、情報セキュリティ責任者でCTOの田中様、セキュリオ運用をご担当していらっしゃるセキュリティエンジニアの蟹様、コーポレートエンジニア兼SREの野田様にお話を伺いました。
株式会社ワンキャリアについて
「人の数だけ、キャリアをつくる。」をミッションに、あらゆるキャリアデータを通じて、 働く人の「仕事選び」に寄り添い、企業の「採用DX」を目指しています。
主なサービスとして、新卒採用メディア「ONE CAREER」、人事向け採用クラウド「ONE CAREER CLOUD」、中途採用メディア「ONE CAREER PLUS」の3つを展開しております。
- 本社:東京都渋谷区
- 設立:2015年8月
- 従業員数:147名(2023年6月末現在)
- Webサイト:https://onecareer.co.jp/
標的型攻撃メール訓練をきっかけに、セキュリティ教育の必要性をより感じました
導入以前のセキュリティ教育について教えてください
弊社はもともと、プライバシーマークを取得していたので、プライバシーマークに関する研修を年に1度実施していました。
スライド資料を口頭で説明した後、理解度テストを実施することで教育していました。そのため、個人情報に関する教育については、社内に行き届いている印象でした。一方で、個人情報以外の情報セキュリティ教育を行えていない現状があり、社内で情報セキュリティ教育にもっと力を入れていきたいという想いは強くありました。
そんな中で、実際に標的型攻撃メールが社内に届いたことから、より一層、情報セキュリティ教育を強化することになりました。
標的型攻撃メール訓練ができるツールを探していることがきっかけではありましたが、ツールの比較検討したときに、セキュリオは複数の情報セキュリティに関する教育系機能が展開されており、複合的に利用することができるため、結果として、セキュリオを導入することに決めました。
導入してみていかがでしたか?
導入後のギャップは特に感じることなく使用できています。標的型攻撃メール訓練について、メールの配信までの設定もスムーズですし、訓練状況も把握しやすいです。また、eラーニングの教材も豊富に用意されているので、満遍なく学習することができます。
標的型攻撃メール訓練の実施についてですが、最初は標的型攻撃メールの存在を知ってもらうことを目的とし、混乱を避けるため事前告知をした上で実施し、その後は事前告知なしで様々なパターンでの訓練メールを送信しています。テンプレートも多くあるのですが、実際の標的型攻撃メールに近い精巧なメールを作成する場合には、本文などを独自で考える必要はあります。余談ですが、標的型攻撃メール訓練用のメール本文にこだわりすぎた結果、訓練のネタバラシ後に「メールやURLを開けるのが怖くなった」と、社内のメンバーから声が上がったこともあります。
導入後、従業員のセキュリティに対する意識が醸成され、情報の取り扱いに対するマインドもより高まっています
情報セキュリティ教育を行ううえで、大切にしていることはありますか?
ワンキャリアは求職者のキャリアデータを扱うというサービスの性質上、個人情報あるいは企業情報の取り扱いに気を付けることが何よりも大切だと考えています。
プロダクトを作ることはもちろん大事であると同時に、情報の取り扱いにおける安全性を十分に担保していく必要があると考えています。もちろん、今までも意識しているところではありますが、セキュリオを利用し始めて、従業員のセキュリティに対する意識が醸成されて、セキュリティに対する機運が高まっていると感じます。その第1ステップとして、誰もが使うインターネットに「怖い側面があるよ」といったことを再認識してもらったり、ソーシャルハックや人的なセキュリティ攻撃もありうることを理解してもらい、社内で取り扱う情報を守るためにしっかりガードするマインドセットを身に着けさせようとしています。
発展的なサービス作りを目指すと同時に、よりセキュアな体制構築をしていきます
流行りの生成AIについて考えていることがあれば教えてください
現在、ワンキャリアでは「ESの達人」というサービスでChatGPTを活用しています。AIは、今後もアイデア次第で前向きに活用していく予定です。生成AIに関するポリシーについては、弊社法務チームより注意事項を整理した上で全社に周知を行うなど、どう向き合っていくか試行錯誤を繰り返しながら検討中です。今後、入社する従業員のためにもポリシーを固め、周知徹底をしていきたいと考えています。
今後セキュリオに期待することについて教えてください!
セキュリオは、管理面も含めて使いやすいと感じています。しいて言えば、セキュリティチェック機能は1社1テナントの枠でのみ利用可能となっていますが、「セキュリティチェックが複数の枠で対応できる」となるとうれしいです。弊社ではプロダクトを複数展開する形態をとっていることもあり、複数の枠で利用可能となれば、より実態にあった運用ができるからです。
また、例えば「ユーザー管理画面からユーザーの追加を行うと、自動でeラーニングの配信対象者に追加され、配信まで行ってくれる」ような仕組みができると非常に便利になるなと感じます。ユーザー登録から各機能へのシームレスな連携が自動的に行われると、今のセキュリオの機能をもっと積極的に活用することができると考えています。
株式会社ワンキャリア様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
取材日:2023年7月
