特集
» 2008年08月25日 10時55分 UPDATE

やりにくい仕事:従業員はセキュリティで金メダルを目指せ【前編】 (1/2)

危機回避を迅速に判断できる点で、人間にかなうものはない。従って、セキュリティは従業員教育が基本だ。ただし教える側にも彼らに興味を持たせる工夫が必要である。時にはお菓子などの賞品で引き寄せることも。

[Marcia Savage,ITmedia]

 セキュリティ担当者の最も困難な仕事の1つ:それはユーザーへのセキュリティ教育だ。忙しい日常業務の中で従業員の注目を集めるにはどうすればよいか? 見破られないパスワードの必要性を認識し、理解してもらうには? あるいは、安易に電子メールの添付ファイルをオープンしないように気をつけてもらうには?

 こうしたジレンマを解決するために、リン・ピッツィーニ氏はトリックがいっぱい詰まったバッグを用意した。文字どおり、マジックのバッグだ。同氏は、モンタナ州の生命保険会社ブルークロス・アンド・ブルーシールドのトレーニングプレゼンテーションにマジックを持ち込んだ。マジックの1つは、色とりどりのスカーフを使って、パスワードの大切さを説くものだ。さまざまな色のスカーフを袋に入れて呪文を唱えると、マルチカラーのスカーフが出来上がる。

 もう1つのマジックは、従業員がデータへアクセスするときに最もセキュリティリスクが高まることを理解してもらうためのものだ。ピッツィーニ氏は、プレゼンテーションで取り上げる7つのセキュリティリスクを書いたカードを誰かにシャッフルしてもらい、テーブルに並べる。そして英単語の”right”のつづりを発音しながら、カードを1枚ずつめくる(なぜ“right”かというと、従業員は常に“正しい”行いをしてもらいたいからだという)。最後の文字“t”のとき、必ず“employees”(従業員)のカードが現れる仕掛けだ。

リン・ピッツィーニ氏 リン・ピッツィーニ氏

 ブルークロスのセキュリティおよびプライバシー担当役員を務めるピッツィーニ氏は、数年前、700人の従業員を対象に行ったプレゼンテーションの中でマジックを使い、大きな効果があることを発見した。その後しばらく、従業員たちはそのときのトリックを覚えていたのだ。「マジックが効果的であることを実感した」と同氏は振り返る。

 ピッツィーニ氏の手法は多少奇抜かもしれないが、ほかの多くの企業でもオンラインチュートリアルやニュースレター、MP3、あるいは各種の賞を設定するなど、一般社員にセキュリティメッセージを徹底するためにさまざまな努力を続けている。それらはいずれも“人間”という最もぜい弱なリンクからシステムを保護するために行われている。企業は、ファイアウォールやアクセス制御など、コストのかかるセキュリティ技術を数多く導入している。だが従業員たちは、パスワードを共有したり、ソーシャルエンジニアリングに引っ掛かったり、あるいは単に会社のセキュリティポリシーを知らなかったりして、そうした防衛メカニズムをいとも簡単に無力化してしまうのだ(別掲「10ベストプラクティス」参照)。

 デロイト・トウシュ・トーマツの「2007年グローバルセキュリティ調査」では、回答した金融機関の80%近くが情報セキュリティの失敗原因に「人的要因」を挙げている。そうした脅威にもかかわらず、同調査に協力した企業のほぼ4分の1は昨年、従業員を対象としたセキュリティ認識トレーニングを実施していない。

 「多くの企業は非技術系ユーザーを後回しにして、ITワーカーのトレーニングのみにフォーカスしている。セキュリティは技術問題という認識だ」と、トレーニング会社セーフライト・セキュリティ・アドバイザのCEO(最高経営責任者)、ロブ・シャイン氏は語る。しかし昨今の法規制やセキュリティ犯罪の増加を背景に、より多くの企業がフォーカスの範囲を広げつつある。「意識改革は進みつつある」と話するのは、エンドユーザー向けのセキュリティ認識トレーニングと認定を行う非営利プロバイダ、SCIPPインターナショナルの創立者ウィン・シュワルトウ氏だ(別掲「成功の鍵」を参照)。

 事実、企業経営においては今日、ガバナンス、リスクマネジメント、コンプライアンスとともに、認識トレーニングの重要性がますます高まりつつある。前ホワイトハウス・サイバーセキュリティアドバイザで、(ISC)2セキュリティストラテジストのホワード・シュミット氏はこう指摘する。「昔も今も、最もぜい弱なリンクは従業員とエンドユーザーだ」

 コンプライアンスはもとより、非技術系ユーザーのトレーニングは情報セキュリティ対策の根幹だとするセキュリティ専門家は多い。

 「もちろんトレーニングだけで、すべてのセキュリティ問題が解決できるわけではない。しかし従業員の認識を高めることで、企業のセキュリティレベルは格段に向上する」と、ザ・ウェザー・チャンネルのCISOジョン・ペンロッド氏は語る。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

「ITmedia エグゼクティブ」新規入会キャンペーン実施中!!

「ITmedia エグゼクティブ」新規入会キャンペーンを実施中。ご入会いただいた方の中から抽選で1名さまに「Apple Watch Series 2」(アルミニウムケースとスポーツバンドまたはウーブンナイロンバンドから選択可)をプレゼント。この機会にぜひご入会ください!!
【入会条件】上場企業および上場相当企業の課長職以上

ピックアップコンテンツ

- PR -
世界基準と日本品質を極める Clients First with Innovation & Japan Quality

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆