SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

Security Online Day レポート

「どうすればいいの?これからの企業の情報セキュリティ教育」ラックの長谷川長一氏が解説


 情報セキュリティの知識やスキルはベンダーの技術者だけでなく、企業内の人材である、従業員、セキュリティ担当者、経営者など様々な層にも必要となっている。しかし、その人材像や具体的な育成方法は示されておらず、企業において情報セキュリティ教育は進んでいないのが実状だ。「Security Online Day 2014」では、EntrepriseZineの人気連載「図解!基礎から学び直す情報セキュリティ入門」の著者でもある、ラック セキュリティアカデミー プロフェッショナルフェローの長谷川長一氏が登壇。「どうすればいいの?これからの企業の情報セキュリティ教育」と題し、セキュリティ教育の実践方法を紹介した。

セキュリティ教育の効果を上げるポイントは、「判断や行動に移せるようにすること」

 長谷川氏は、ラックでセキュリティコンサルティング、セキュリティ監査業務を経て、現在は主にセキュリティ教育業務を担当する。企業や組織のセキュリティ教育に直接たずさわる立場から、企業で実際に何が課題になっているのか、どうすれば望ましい対策が実践できるのかを解説した。

ラック セキュリティアカデミー プロフェッショナルフェローの長谷川長一氏

▲ラック セキュリティアカデミー
プロフェッショナルフェロー 長谷川 長一氏

 長谷川氏によると、大前提として抑えておかなければならないのは、役割と責任によって必要とされる教育はまったく異なるということだ。役割には大きく、従業員、情報セキュリティ担当者、経営者の3つに分けられる。従業員には、業務を遂行するうえでの情報セキュリティリテラシーが求められる一方、情報セキュリティ担当者には情報セキュリティ対策の推進、経営者には経営戦略としてのセキュリティという役割を担っていく必要がある。

 まず、従業員向けの教育については「やっていないところはほとんどないと言えるほど実施率が高いが、教育の効果が上がっていないケースが多い」という現状を指摘した。効果が上がらない原因にはいくつかある。たとえば、実行できない「無理なルール」が作られていることや、〜すべきでないという「べからず教育」を行っていること、毎年同じような内容で変わり映えしない「マンネリ教育」が行われていること、何々をすると恐ろしいことになるといった「脅迫の教育」を行っていること、ありも危険を大げさに解説する「オオカミ少年風教育」を行っていることなどだ。

 「教育の効果を上げるポイントは、判断や行動に移せるようにすること。ほとんどの事故は基本的な情報セキュリティ対策の不備が原因で起こる。そこで、守るべきものを明確にし、各人の役割と責任に応じた、判断と行動ができるようにする。従業員教育では、各自が当事者であることを理解させ、事故発生時や判断に迷ったときなど、困ったときにどうすればいいかを行動に移せるようにすることが重要だ」(長谷川氏)

 たとえば、事故の結果だけでなく、原因や影響を教えるという。具体的には、「添付ファイルの誤送信があった」「車上荒らしによる書類盗難」があったといった事故の結果だけでなく、どういった攻撃やどんなルールにより侵入されたか、それによってどのシステムが停止し、どんな機密情報がどのように漏れ、会社にどんな影響がでたのかまでを教える。

出所:Security Online Day 2014

 その際は、実業務のなかで応用し実践できるように、業務プロセスにしたがって、シナリオベースで、業務のなかのどこにリスクがあるのか、その場合はどうすればよいのかを具体的に説明していくという。仮定ではなく、事実をベースに説明することも重要だ。事実をもとに、リスク、原因、影響を説明し、身近なものにあてはめて、応用、実践できるようにする。マンネリにならないための工夫として、脅威の最新動向や統計データ、組織を取り巻く環境の変化と想定されるリスクをアップデートしていくことも必要だ。

次のページ
情報セキュリティ担当者は、経営陣に対して効果を説明するための情報や権限を持つ立場

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day レポート連載記事一覧

もっと読む

この記事の著者

齋藤公二(サイトウコウジ)

インサイト合同会社「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6446 2015/04/27 11:22

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング