こんにちは。 マネーフォワードのセキュリティおじさん、坂本です。 当社のCSIRT「MF-CSIRT」をはじめ、セキュリティ業務全般を担当しています。
今回は、マネーフォワードの社内報『月刊マネフォセキュリティ』の取り組みについて紹介させていただきます。
『月刊マネフォセキュリティ』を創刊した背景
社内への情報セキュリティに対する意識向上・啓蒙は、各社でも取り組んでいる活動かと思います。 当社でも定期的な全社研修などでリテラシー向上を図っていましたが、
- 情報セキュリティリスクが身近に感じられないことにより、当事者意識の低下しがち
- 情報セキュリティに対して、漠然と苦手意識を持たれがち
- 情報セキュリティの研修・周知をしても、難解用語が多く理解度が上がらない
などの課題がありました。
そこで、研修よりも効果的に、情報セキュリティを身近に感じて興味をもってもらうことを目標に、月一での発信活動を始めてみました。
『月刊マネフォセキュリティ』を作成するにあたり、、、
目標は『情報セキュリティを身近に感じて興味をもってもらうこと』 対象は『エンジニアに限定せず、全社員』
ということで、創刊にあたり以下のルールを設定しました。
- 月刊誌にして、忘れたころに届く月に1度の定期発行
- 『3分で読める』ような文量にして、みんなが読み始める際に腰が重くならないようにする
- 難易度高めな専門用語は使わない
- ITに詳しくない方でも興味を持てる、身近に起こりそうな事案にする
- つい自分が好きなセキュリティ分野のDeepな内容になりがちなので、定期的に自分を止める
そして、当事者意識をもたせるために身近な話を採用して、テーマは2本立てにします。
- 「社内で起きた事故・ヒヤリ・ハット」から毎月1テーマ
- 「世間で話題の事故」から毎月1テーマ
また、『3分で読める』ことを最重要視し、以下の構成でシンプルにまとめました。(実はこれが一番大変)
- 【事象編】事故・ヒヤリ・ハットの発生事象を説明
- 【解説編】発生事象を解説し、発生原因や根本原因のポイントを説明
- 【学び編】我々は何を気を付ければよいか?、当社での対策・対応状況を説明
これまで取り上げたテーマ
(Slackで全社に配信します)
これまで様々なテーマを取り上げましたが、他社事例テーマなどの一部を紹介いたします。
- クレカ番号・個人情報を含むファイル、一部を非表示で残したままメール添付した話
- 顧客から取得した個人情報を、許諾利用目的「以外」で使用して炎上した話
- Google Driveファイル、アクセス権限を限定したつもりがインターネット公開してた話
- 偽メール受信・URLクリックからのフィッシングサイト被害
- クラウド型のProject管理ツールを使ってたら、そこから機密情報が漏洩した話
- 社内でも関係者外秘な情報なのに、なぜか家族が知っていた話
- 内部犯行による情報漏えい・破壊の話
- 個人情報ではないと思って収集してたら、実は個人情報だった話
- Twitterを用いたキャンペーン、応募するだけなのに権限要求が多すぎな話
- キャプチャツールを使ってたら、機密情報のキャプチャをインターネット公開した話
- コード解析ツールが不正アクセスされたら、なぜかGitHubから顧客情報が漏えいした話
- Chrome通知機能を悪用した、偽警告・偽誘導ポップアップ
- 世界中で被害が多発している「ランサムウェア」の脅威
- Trelloで業務タスク管理してたら、チケットをインターネット公開した話
- Googleフォーム設定ミスで、キャンペーン申込情報が漏えいした話
- お客様への一斉メール送信で、宛先をBCCではなくToにして送信
- 標的型攻撃メールに添付されたマルウェアを誤ってクリック・実行
- クラウド顧客管理システム、設定誤りから個人情報漏えい
- Google Drive共有設定誤りで新型コロナ感染者情報が漏えい
みんなからの反応
お便りコーナーを設置してるのですが、毎月お便りを多数いただき励みになりました。 コメントを一部紹介いたします。
- 枚数が少ない中に情報が端的にまとめられててストレスなく学べるので非常にありがたいです。
- すごい大事な内容がギュッとつまっててありがたみしかないです。
- 実際に気をつけないといけない事が身近で、多くの社員にとって、自分ごととして捉えてもらえそう。
- 最近セキュリティまわりでヒヤリとすることがあったので、発信ありがたいです。
- 日々の業務で身が引き締まる思いです。わかりやすい絵や文章もありがたいです。
- ちょうどいい文量と、身近な事象の解説で読みやすいです!!!
- 個人情報を取り扱う部署として、同じ轍を踏まないよう気を付けなければと思いました。
- 事象から学ぶポイントや当社での対策は、イメージがわくので有益な情報だなと思いました。
- 落ち着いて読んで2分6秒でした。
さいごに
え? 『月刊マネフォセキュリティ』を読んでみたい?
なんと、この社内報はマネフォ(グループ会社含む)に入社いただけると読めちゃいます。 是非読んでみませんか!!!
マネーフォワードでは、エンジニアを募集しています。 ご応募お待ちしています。
【サイトのご案内】 ■マネーフォワード採用サイト ■Wantedly ■京都開発拠点
【プロダクトのご紹介】 ■お金の見える化サービス 『マネーフォワード ME』 iPhone,iPad Android
■ビジネス向けバックオフィス向け業務効率化ソリューション 『マネーフォワード クラウド』
■だれでも貯まって増える お金の体質改善サービス 『マネーフォワード おかねせんせい』