特集
» 2008年08月29日 08時10分 UPDATE

やりにくい仕事:情報セキュリティは楽しく学ぶもの?【後編】 (1/2)

子ども向けのガイドライン、社内ニュースレター、MP3による音声配信など、あの手この手を使って各企業とも従業員のセキュリティトレーニングに取り組んでいる。ポイントは「楽しみ」を与えることだという。

[Marcia Savage,ITmedia]

前編:「従業員はセキュリティで金メダルを目指せ」はこちら


家庭をねらえ

 企業が従業員とセキュリティで連携するための1つの方法は、ホームコンピュータのセキュリティヒントを提供することだ。

 米国の医療機関カイザー・パーマネントのトレーニングプログラムには、非技術系従業員向けのセキュリティ専用コーポレートウェブサイトが用意されている。そこにはHIPAA(Health Insurance Portability and Accountability Act)などの法規や会社のセキュリティポリシーに関する情報に加え、ホームコンピュータ向けのセキュリティアドバイスや子供たちを有害サイトから守る方法などが掲載されている。

 「自宅でしっかりとしたセキュリティプラクティスを実践していれば、職場でも同様のセキュリティプラクティスを実践するはずだ、というのがわたしの考え」とローズ氏。

 Webサイトには、カイザーのチュートリアルも用意されている。このチュートリアルは、オンラインと電話によるインストラクタ指導を組み合わせたハイブリッド版だ。ローズ氏はまた、カイザーのさまざまな従業員向けイベントに出席して、ラップトップのセキュリティヒントやそのほかのトピックスをまとめたチラシを配布したり、従業員向けニュースレターやそのほかの発行物にセキュリティヒントを掲載するなどの活動を行っている。

 「人々は基本的に正しい行動を取りたいと思っているが、正しい行動がどのようなものであるかを知らない。そのため、こうした活動は非常に効果的だ」と同氏は語る。

 従業員1000人を擁する気象情報プロバイダのザ・ウェザー・チャンネルでも、四半期ベースのトレーニングセッションで、ホームコンピュータセキュリティがポピュラーな話題として取り上げられてきた(別掲「親のためのガイドライン」参照)。

 「ホームシステムのセキュリティを日常的に考えるようになれば、自然とそのほかの環境のセキュリティにも関心が向く。そうした態度は当然、社内のセキュリティの強化につながる」とペンロッド氏。

 トレーニングセッションは通常、1つのテーマに絞って行われる。例えば、子供を有害サイトやマルウェアから守る方法、あるいはフィッシング詐欺に引っ掛からない方法などだ。「あまりに多くのことを詰め込みすぎると逆効果になる」とペンロッド氏。またセキュリティ認識は、ほかの社内トレーニングと組み合わせたほうが効果が上がるという。

 セキュリティのプロモーションは経営陣からのサポートがあるとやりやすい、と同氏は付け加える。例えば、セキュリティトレーニングのときは業務を離れてもよいとする暗黙の了解などだ。

フレキシビリティとカスタマイゼーション

 ロードアイランド州プロビデンスを本拠とする医療機関ケア・ニューイングランド・ヘルス・システムでは、重要データを取り扱う場合のコンピュータプラクティスとコーポレートポリシーに関する従業員教育に多面的なアプローチを採用している。オンライントレーニングは新人教育向けと年1回の一般従業員向けがあり、トレーニング講座を四半期ごとに開設するほか、隔月でニュースレターを発行し、そこに掲載した記事をMP3の音声形式で提供している。全従業員1万5000人をカバーするためには、こうしたフレキシブルな手法が不可欠であるからだ。

 「従業員たちは皆非常に忙しく、トレーニングを受ける時間をなかなか作れない」と語るのは、ケア・ニューイングランドのISセキュリティおよび災害復旧担当マネジャー、ラリー・ペッシェ氏だ。「われわれは当初、これらのトレーニングを電子メールで実施しようと考えた。まさか従業員の多くが電子メールにまったくアクセスしていないなど考えもしなかったからだ」

 実際、看護師たちは患者のケアで目が回るほど忙しく、電子メールをチェックする暇はほとんどない。しかしイントラネットで視聴できるMP3であれば、コンピュータの前に座ってニュースレターを読む時間がなくても、仕事中にバックグラウンドで聞くことは可能だ。

 北カリフォルニアのコミュニティバンク、フレモント銀行のデータセキュリティマネジャー、ジャスティン・ドレイン氏も、従業員600人を対象に行うセキュリティ認識プログラムにさまざまなテクニックを用いている。対面式のトレーニングが最もインパクトがあるというドレイン氏は、プレゼンテーションにスパイスとしてジョークを織り交ぜ、聴衆を楽しませながらセキュリティの重要性を訴える。

 「ITについて何も知らない人々に高度な概念を理解してもらわなければならない」と同氏。そのためプレゼンテーションは、それぞれの職場に固有のセキュリティ問題を取り上げ、従業員グループごとに内容を調整する。例えば、窓口業務とデータ入力業務では、当然プレゼンテーションの中身を変えるという。しかし、「最もコスト効率のよい方法は、Webベースのトレーニングだ」と同氏は言う。非常に柔軟性が高く、平日の休憩時間でもアクセスできるからだ。

 いずれにしても、重要な点は、セキュリティの適用方法について従業員の理解を助けることだ。「セキュリティに積極的に関与し、ユーザーとして成長してもらいたい。こうすればもっと仕事がしやすくなる、クライアントのサポートを強化できると感じてもらいたい」と同氏は願う。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

「ITmedia エグゼクティブ」新規入会キャンペーン実施中!!

「ITmedia エグゼクティブ」新規入会キャンペーンを実施中。ご入会いただいた方の中から抽選で1名さまに「Apple Watch Series 2」(アルミニウムケースとスポーツバンドまたはウーブンナイロンバンドから選択可)をプレゼント。この機会にぜひご入会ください!!
【入会条件】上場企業および上場相当企業の課長職以上

ピックアップコンテンツ

- PR -
世界基準と日本品質を極める Clients First with Innovation & Japan Quality

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆