セキュリティ教育の効果を上げるポイントは、「判断や行動に移せるようにすること」
長谷川氏は、ラックでセキュリティコンサルティング、セキュリティ監査業務を経て、現在は主にセキュリティ教育業務を担当する。企業や組織のセキュリティ教育に直接たずさわる立場から、企業で実際に何が課題になっているのか、どうすれば望ましい対策が実践できるのかを解説した。
▲ラック セキュリティアカデミー
プロフェッショナルフェロー 長谷川 長一氏
長谷川氏によると、大前提として抑えておかなければならないのは、役割と責任によって必要とされる教育はまったく異なるということだ。役割には大きく、従業員、情報セキュリティ担当者、経営者の3つに分けられる。従業員には、業務を遂行するうえでの情報セキュリティリテラシーが求められる一方、情報セキュリティ担当者には情報セキュリティ対策の推進、経営者には経営戦略としてのセキュリティという役割を担っていく必要がある。
まず、従業員向けの教育については「やっていないところはほとんどないと言えるほど実施率が高いが、教育の効果が上がっていないケースが多い」という現状を指摘した。効果が上がらない原因にはいくつかある。たとえば、実行できない「無理なルール」が作られていることや、〜すべきでないという「べからず教育」を行っていること、毎年同じような内容で変わり映えしない「マンネリ教育」が行われていること、何々をすると恐ろしいことになるといった「脅迫の教育」を行っていること、ありも危険を大げさに解説する「オオカミ少年風教育」を行っていることなどだ。
「教育の効果を上げるポイントは、判断や行動に移せるようにすること。ほとんどの事故は基本的な情報セキュリティ対策の不備が原因で起こる。そこで、守るべきものを明確にし、各人の役割と責任に応じた、判断と行動ができるようにする。従業員教育では、各自が当事者であることを理解させ、事故発生時や判断に迷ったときなど、困ったときにどうすればいいかを行動に移せるようにすることが重要だ」(長谷川氏)
たとえば、事故の結果だけでなく、原因や影響を教えるという。具体的には、「添付ファイルの誤送信があった」「車上荒らしによる書類盗難」があったといった事故の結果だけでなく、どういった攻撃やどんなルールにより侵入されたか、それによってどのシステムが停止し、どんな機密情報がどのように漏れ、会社にどんな影響がでたのかまでを教える。
その際は、実業務のなかで応用し実践できるように、業務プロセスにしたがって、シナリオベースで、業務のなかのどこにリスクがあるのか、その場合はどうすればよいのかを具体的に説明していくという。仮定ではなく、事実をベースに説明することも重要だ。事実をもとに、リスク、原因、影響を説明し、身近なものにあてはめて、応用、実践できるようにする。マンネリにならないための工夫として、脅威の最新動向や統計データ、組織を取り巻く環境の変化と想定されるリスクをアップデートしていくことも必要だ。
