新入社員オンボーディング セキュリティチェックリスト
新入社員受け入れ時に必須のセキュリティチェックリスト。アカウント作成、パスワードポリシー、2FA設定、セキュリティ研修、アクセス権限管理を網羅します。
新入社員オンボーディング セキュリティチェックリスト
新入社員を迎えるたびに、数十のアカウント作成とアクセス権限の付与が必要になります。このプロセスでセキュリティを疎かにすると、数ヶ月後、あるいはインシデントが発生するまで気づかない脆弱性を生み出します。
初期パスワードをLINEやChatworkで送る、全員に同じデフォルトパスワードを使う、2FA設定を後回しにする -- すべてよくある間違いです。
入社前の準備(D-3〜D-1)
アカウント プロビジョニング
初出勤前に必要なアカウントを準備しておきましょう。
| 項目 | 詳細 | 優先度 |
|---|---|---|
| メールアカウント | 会社ドメインのメール作成 | 必須 |
| Slack/Chatwork | ワークスペース招待 | 必須 |
| クラウドストレージ | Google Drive/OneDrive共有設定 | 必須 |
| プロジェクト管理 | Backlog/Jira/Notionアカウント | 高 |
| VPN | リモートアクセスVPN設定 | 該当者 |
| ソースコードリポジトリ | GitHub/GitLab招待 | 開発職 |
端末準備
- PC/Macに会社セキュリティポリシーを適用
- ディスク暗号化を有効化(BitLocker/FileVault)
- エンドポイントセキュリティソフトをインストール
- 自動画面ロック設定(1分)
- リモートワイプ機能設定(MDM)
入社当日(D-Day)
ステップ1:パスワードポリシー説明
初日に必ずパスワードポリシーを説明してください。
最低要件:
- 長さ:12文字以上
- 構成:大文字、小文字、数字、特殊文字を含む
- 禁止:氏名、生年月日、連続した数字、辞書の単語
- 再利用禁止:以前のパスワードの再利用不可
- 変更周期:90日ごとに変更
パスワードマネージャーの導入:
- 企業向けパスワードマネージャー(1Password Business、Bitwarden)を展開
- すべての業務アカウントのパスワードをマネージャーに保存
- マスターパスワードのみ記憶すればOK
ステップ2:二要素認証(2FA)設定
初日にすべての重要アカウントで2FAを設定します。
| アカウント | 2FA方式 | 優先度 |
|---|---|---|
| メール | 認証アプリ(Google Authenticator) | 必須 |
| Slack/Chatwork | 認証アプリ | 必須 |
| クラウドストレージ | 認証アプリ | 必須 |
| VPN | ハードウェアキー(YubiKey)または認証アプリ | 必須 |
| GitHub/GitLab | 認証アプリまたはハードウェアキー | 開発職必須 |
| 管理パネル | ハードウェアキー推奨 | 管理職必須 |
注意: SMS認証はSIMスワッピング攻撃に脆弱なため、認証アプリやハードウェアキーを優先してください。
ステップ3:初期パスワードの安全な伝達
初期パスワードの安全な伝達が重要です。
NG例:
- LINEやChatworkでパスワードを送信
- メールにすべてのアカウントパスワードを列挙
- 付箋にパスワードを書いてデスクに貼る
正しい方法:
- LOCK.PUBの秘密メモで初期パスワードを伝達(24時間有効期限)
- 初回ログイン時にパスワード変更を強制
- サービスごとに異なる初期パスワードを設定
入社1週目(D+1〜D+7)
セキュリティ研修
最初の1週間以内に基本セキュリティ研修を実施します。
必須研修項目:
- フィッシング対策:不審なメール・リンクの見分け方
- パスワード管理:パスワードマネージャーの使い方
- 端末セキュリティ:画面ロック、ディスク暗号化、紛失時の対処
- データ分類:機密・社内・公開データの取り扱い
- インシデント報告:セキュリティ事故発生時の報告手順
アクセス権限設定
最小権限の原則に従って権限を付与します。
| 役割 | アクセス範囲 | 権限レベル |
|---|---|---|
| 一般社員 | 所属チームのリソース | 読取/書込 |
| チームリーダー | チーム+クロスチーム | 読取/書込/管理 |
| IT管理者 | 全社システム | フル管理 |
| 外部協力者 | プロジェクト限定 | 読取専用 |
継続的なモニタリング
30日レビュー
入社30日後に以下を確認します。
- すべての初期パスワードが変更済み
- 2FAがすべての必須サービスで有効
- 不要なアクセス権限がないか確認
- パスワードマネージャーを正しく使用しているか確認
- セキュリティ研修完了を確認
四半期監査
- アクセス権限の見直しと不要な権限の削除
- パスワード変更状況の確認
- セキュリティインシデントログの確認
- 退職者アカウントの即時無効化を確認
LOCK.PUBをオンボーディングに活用
LOCK.PUBはオンボーディング時の初期パスワード伝達を安全にします。
活用例
- サービスごとに個別の秘密メモを作成(24時間有効期限)
- メモリンクを会社メールで送信
- アクセスパスワードは対面またはオンボーディング時に伝達
- 新入社員がパスワードを確認後、即座に変更
- メモは自動的に期限切れ -- メールに残らない
退職時セキュリティチェックリスト
- すべてのアカウントを即時無効化/削除
- 必要に応じてメール転送設定
- 共有パスワードを即時変更
- VPN・リモートアクセス権限を即時取消
- 会社端末を回収・初期化
- クラウドストレージアクセスを削除
- ソースコードリポジトリアクセスを削除
- 物理的な入退室カードを回収
まとめ
セキュリティを重視したオンボーディングは、組織全体のセキュリティレベルを向上させます。アカウント作成からパスワードポリシー、2FA設定、セキュリティ研修、アクセス権限管理まで体系的に実施しましょう。初期パスワードの伝達には、LINEやメールではなく、有効期限付きのセキュアツールを活用してください。
LOCK.PUBで新入社員向けのパスワード保護メモを作成して、安全なオンボーディングを始めましょう。
キーワード
こちらもおすすめ
大容量ファイルを安全に送る方法 — 全方式を徹底比較
メール、Google ドライブ、Dropbox、ギガファイル便など大容量ファイル転送方法を比較。どの方法がデータを守り、どの方法にリスクがあるか解説します。
SNSアカウントのログイン情報を安全に共有する方法
Instagram、X、LINEのビジネスアカウントをチームメンバーやパートナーと共有する必要がある場合、ハッキングされずに安全に認証情報を共有する方法を解説します。
リモートワークで機密資料を安全に共有するセキュリティガイド
リモートワーク環境で発生するセキュリティ脅威と、機密資料を安全に共有するための実践的な方法、チームセキュリティポリシーの策定ガイドを紹介します。