NECグループ全体のセキュリティ意識向上をめざす施策「マイクロテーマ・トーク」。3分の動画と12分の議論を通じてリスクを自分ごと化するこの取り組みは、社員の満足度が高く、お客様向けのサービスとしても提供されています。施策を担うCISO統括オフィスの2人に、制作の狙いや効果について聞きました。
短時間×高頻度でセキュリティ意識を向上。社員が自らリスクを考える、新たな意識啓発施策。
サイバーセキュリティ部門に所属するMiho I.とKentaro M.。NECグループにおけるサイバーセキュリティの中枢機能を担うCISO統括オフィスで、セキュリティに関する社内教育や監査に取り組んでいます。
Miho I.:私が所属するセキュリティガバナンスグループでは、NECグループ全体のセキュリティ教育や意識啓発、ルールの整備や監査のようなセキュリティガバナンス強化施策を担当しています。
その中で私は、「マイクロテーマ・トーク」のようなセキュリティ意識啓発施策や、海外現地法人のセキュリティ監査などの業務に従事しています。
Kentaro M.:私も同じグループに所属し、Mihoさんの上司としてNECグループの情報セキュリティに関するガバナンスや意識啓発を担当しています。「マイクロテーマ・トーク」をはじめ、全社セキュリティ教育などの意識啓発施策の企画運営を行うのが主な業務です。
2人が担当している「マイクロテーマ・トーク」は、身近なセキュリティリスクをテーマにしたドラマ仕立てによる3分の動画を視聴し、少人数で「原因や対策、自分だったらどうするか」を12分で討議するNEC独自の意識啓発施策です。短時間かつ年4回の高頻度で行われることが特徴で、従来型のセキュリティ教育における課題を解決するために開発されました。
Kentaro M.:セキュリティの意識啓発には、大きく2つのアプローチがあります。1つは受動的に教材を見て学ぶ方法で、もう1つは自分たちで考えながら能動的に学ぶ方法です。
NECでは以前からセキュリティ教育を実施していましたが、これまで参加型の教育はあまり行われていませんでした。2010年頃、その必要性を強く感じたことを機に、10~20分程度の映像を見て60分討議する「職場懇談会」を始めました。
Miho I.:それを数年かけて進化させ、短時間の学習を行うマイクロラーニングの手法を取り入れて開発されたのが、「マイクロテーマ・トーク」です。大きく変わったのは実施時間と頻度になります。従来は60分の討議を年1回行っていましたが、15分に短縮する代わりに年に4回の開催にしました。
この手法によるメリットは、実施頻度が増えることでテーマとして扱えるリスクの幅が広がり、社員がセキュリティを意識する機会が多くなることです。また、1回15分と短いため、既存の会議(部会など)の中に取り込みやすい点や会議の合間などに組み込みやすい点から実施のハードルを下げることもできます。
従来の教育施策を変える構想をKentaroが練り、それを若手社員のMihoが引き継ぐ形で、「マイクロテーマ・トーク」は進化していきました。
Miho I.:私が新卒入社した2022年は、ちょうどテーマ・トークの実施方法をマイクロ型に変更した時期でした。前任者や上司に学びながら、2024年からは主担当として企画運営を任せてもらっています。
私自身、セキュリティについて本格的に学び始めたのはNECに入社してからです。そのため私と同じように従来はセキュリティに触れる機会がなかった人でも、楽しみながら学べるコンテンツにしたいという想いで制作に取り組んでいます。
Kentaro M.:私はNECへ2015年に入社し、2018年度からセキュリティ教育に携わってきました。セキュリティ教育の新たな構想を練っていた中で出向が決まり、Mihoさんにバトンタッチする形で「マイクロテーマ・トーク」の企画運営を担当してもらうことになりました。
2年後に出向から戻ってきたとき、Mihoさんが入社3年目ながら構想をしっかりと形にしてくれていたので、その実行力に感心するとともに、より効果的な教育施策に進化したことをうれしく思っています。
セキュリティリスクを疑似体験。テーマ選定にこだわり、3分の動画でリアリティを追求。
4半期に1度、年4回実施される「マイクロテーマ・トーク」。取り上げるテーマの選定においては、社員が「自分ごと」として捉えられるかという視点が重視されています。
Miho I.:社内外のインシデント事例や最新動向、現場の意見などをもとにしてテーマを選定しています。動画を視聴し、NECグループで実際に起こりそうなシチュエーションを疑似体験した上で、取るべき行動について討議してもらうため、社員に「自分の身にも起こり得る」と、リアルに危機感を抱いてもらえるテーマ選びが重要です。
具体的には、ルールはあるものの判断が難しいケースなどの「グレーゾーン」を取り上げることを意識しています。あえて正解を描かず、参加者が主体的に議論できる余白を残すことも工夫している点です。
これまで数々のセキュリティリスクをテーマとして取り上げてきたMiho。参加した社員の声も参考にしながら、より実践的なテーマを選んできました。
Miho I.:身代金を要求するランサムウェアや生成AIによる情報漏洩リスクなど、社員の関心が高いテーマを取り上げてきました。その中でとくに反響が大きかったのは、オンライン会議に不明な参加者が紛れ込むケースを取り上げた回です。「自らの行動を見直すきっかけになった」「今後の参考になった」など、多くの声が寄せられました。
自分ごと化しやすいテーマを選ぶことに加え、制作チームでは3分という短い動画において、いかに効果的にメッセージを伝えるかについても工夫しています。
Miho I.: 3分でセキュリティリスクをわかりやすく伝えるため、チームで何度も推敲を重ねて台本を制作しています。その際に大切にしているのは、徹底したリアリティの追求です。たとえば産業スパイに関するテーマでは、専門部署へのヒアリングを実施し、台本の監修にも協力していただきました。
また、参加者を飽きさせない工夫として、プロの役者を起用するだけでなく、役者経験のあるNECグループの社員にも出演してもらっています。実は私とKentaroさんも、エキストラとして出演しているんです。
Kentaro M.:知っている社員が出演することで、動画に対する関心がより高まればと考えています。普段の業務では見る機会のない撮影現場を体験したことで、テレビドラマの制作と同じくらい細部にこだわって作られていることを実感しました。
こうした制作チームの妥協しない姿勢が、動画のリアリティを生み出しているのだと思います。
社員の90%以上が「満足」と回答。運用や告知を工夫し、参加のモチベーションを刺激。
教育施策の成果を上げるには、社員が無理なく実施できる仕組みづくりも重要です。「マイクロテーマ・トーク」では、継続のしやすさを考えた運用が行われています。
Miho I.:実施期間は1カ月半と長めに設定し、開始時に依頼を通知して残り半月のタイミングでリマインドを行っています。討議に関しては、各グループで進行役を立ててもらい、社員が主体的に取り組める形式にしました。そして討議を進めやすくするため、私たちが進行用の資料や討議用の資料を作成するなどのサポートを行っています。
こうして運用されている「マイクロテーマ・トーク」の受講者数は、25年度の第2四半期で約6万人と、NECグループの半数以上に達しています。ここまで参加率を高めるために、さまざまな取り組みが行われてきました。
Miho I.:とくに告知には力を入れ、予告動画を作成して社内のポータルサイトに掲載しているほか、今年度からは社員がよく目にする場所に電子ポスターを掲示して周知を図っています。そして実施後にはアンケートを集計し、組織別の実施率や参加者の満足度、討議で出た意見などを公開し、成果を可視化することで、参加のモチベーションを高めています。
実施後のアンケートでは、社員の90%以上が「満足」と回答。また、取り上げるテーマに対する社員からの提案も増加傾向にあります。
Kentaro M.:アンケートではこれまで、単に参加した感想が寄せられることが多かったのですが、「こういうセキュリティリスクを取り上げてほしい」など、積極的な提案が増えてきました。
「マイクロテーマ・トーク」を通じ、セキュリティアウェアネス(情報セキュリティ意識)が実際にどれだけ向上したかを計測することは難しい側面もあります。ただ、こうして社員からの意見や提案が増えていることは、セキュリティリスクに対する意識が以前より向上したことの表れではないかと考えています。
Miho I.:アンケートの回答欄だけでなく、問い合わせ用のメールアドレス宛に直接取り上げてほしいテーマを送ってくれる社員も増えてきました。Kentaroさんが言うとおり、この変化はセキュリティリスクの自分ごと化が進んでいる表れだと感じています。
「クライアントゼロ」の取り組みとして。セキュリティ教育の実践知を、お客様に還元。
NECグループ全体におけるセキュリティ意識の向上に寄与している「マイクロテーマ・トーク」。自社をゼロ番目のクライアントとして課題に挑む「クライアントゼロ」の考え方のもと、社内で実践した効果的な意識啓発施策を、お客様に提供する取り組みも進められています。
Kentaro M.:NECでは、お客様のDXを安全に進めるための支援として「セキュリティアウェアネストレーニングサービス」を提供しています。このサービスを導入されている約8割のお客様に、「マイクロテーマ・トーク」で利用されている動画を活用していただいている状況です。
「クライアントゼロ」としてNEC自身が実際に試し、成果を上げている意識啓発コンテンツだからこそ、お客様にも評価していただいているのだと思います。
社内だけでなく社外でも活用が広がっている中で、Mihoは「マイクロテーマ・トーク」のさらなる進化をめざしたいと意気込みを語ります。
Miho I.:これまではインシデントを疑似体験してもらい、その原因と対策について討議してもらう形式でしたが、来年度は従来とは異なるアプローチに挑戦したいと考えています。
また、組織や職種、職位ごとにテーマを設定するなど、より効果的な施策をめざして新たな構想を検討中です。アンケートから得られたデータも活用しながら、社員一人ひとりがセキュリティ意識をさらに高められるよう、取り組みを進化させていきたいと思います。
Kentaro M.:テーマのバリエーションを増やしつつ、時代に合わせて内容をアップデートすることにも力を入れていきたいですね。生成AIなどの最新技術に関するリスクはもちろん、今後予測される新たな脅威も取り上げていきたいと考えています。
IT技術の進化に伴いリスクも進化するため、絶えず知識を吸収して対策を考え続けることが重要です。常にアップデートを図り、他の教育施策との連携も視野に入れながら、NECグループ全体のセキュリティ意識の向上に貢献していきたいと思います。
これからも「マイクロテーマ・トーク」の進化をめざし、挑戦を続ける2人。自ら新たな施策を企画して実践できるのは、NECの組織風土があるからだと話します。