情報セキュリティの知識やスキルはベンダーの技術者だけでなく、企業内の人材である、従業員、セキュリティ担当者、経営者など様々な層にも必要となっている。しかし、その人材像や具体的な育成方法は示されておらず、企業において情報セキュリティ教育は進んでいないのが実状だ。「Security Online Day 2014」では、EntrepriseZineの人気連載「図解!基礎から学び直す情報セキュリティ入門」の著者でもある、ラック セキュリティアカデミー プロフェッショナルフェローの長谷川長一氏が登壇。「どうすればいいの?これからの企業の情報セキュリティ教育」と題し、セキュリティ教育の実践方法を紹介した。
セキュリティ教育の効果を上げるポイントは、「判断や行動に移せるようにすること」
長谷川氏は、ラックでセキュリティコンサルティング、セキュリティ監査業務を経て、現在は主にセキュリティ教育業務を担当する。企業や組織のセキュリティ教育に直接たずさわる立場から、企業で実際に何が課題になっているのか、どうすれば望ましい対策が実践できるのかを解説した。

▲ラック セキュリティアカデミー
プロフェッショナルフェロー 長谷川 長一氏
長谷川氏によると、大前提として抑えておかなければならないのは、役割と責任によって必要とされる教育はまったく異なるということだ。役割には大きく、従業員、情報セキュリティ担当者、経営者の3つに分けられる。従業員には、業務を遂行するうえでの情報セキュリティリテラシーが求められる一方、情報セキュリティ担当者には情報セキュリティ対策の推進、経営者には経営戦略としてのセキュリティという役割を担っていく必要がある。
まず、従業員向けの教育については「やっていないところはほとんどないと言えるほど実施率が高いが、教育の効果が上がっていないケースが多い」という現状を指摘した。効果が上がらない原因にはいくつかある。たとえば、実行できない「無理なルール」が作られていることや、〜すべきでないという「べからず教育」を行っていること、毎年同じような内容で変わり映えしない「マンネリ教育」が行われていること、何々をすると恐ろしいことになるといった「脅迫の教育」を行っていること、ありも危険を大げさに解説する「オオカミ少年風教育」を行っていることなどだ。
「教育の効果を上げるポイントは、判断や行動に移せるようにすること。ほとんどの事故は基本的な情報セキュリティ対策の不備が原因で起こる。そこで、守るべきものを明確にし、各人の役割と責任に応じた、判断と行動ができるようにする。従業員教育では、各自が当事者であることを理解させ、事故発生時や判断に迷ったときなど、困ったときにどうすればいいかを行動に移せるようにすることが重要だ」(長谷川氏)

たとえば、事故の結果だけでなく、原因や影響を教えるという。具体的には、「添付ファイルの誤送信があった」「車上荒らしによる書類盗難」があったといった事故の結果だけでなく、どういった攻撃やどんなルールにより侵入されたか、それによってどのシステムが停止し、どんな機密情報がどのように漏れ、会社にどんな影響がでたのかまでを教える。

その際は、実業務のなかで応用し実践できるように、業務プロセスにしたがって、シナリオベースで、業務のなかのどこにリスクがあるのか、その場合はどうすればよいのかを具体的に説明していくという。仮定ではなく、事実をベースに説明することも重要だ。事実をもとに、リスク、原因、影響を説明し、身近なものにあてはめて、応用、実践できるようにする。マンネリにならないための工夫として、脅威の最新動向や統計データ、組織を取り巻く環境の変化と想定されるリスクをアップデートしていくことも必要だ。
この記事は参考になりましたか?
- Security Online Day レポート連載記事一覧
- この記事の著者
-
齋藤公二(サイトウコウジ)
インサイト合同会社「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア