従業員はセキュリティで金メダルを目指せ【前編】:やりにくい仕事(2/2 ページ)
マジック以外にも
モンタナ州のブルークロスでは、ピッツィーニ氏のマジックを組み込んだプレゼンテーションのほかにも、イントラネットを利用したオンライントレーニングやさまざまなイベント、ポスター、カレンダー、セキュリティ情報の提供を行っている。プレゼンテーションは新入社員向けに2週間に1度あるほか、全従業員を対象とする全社トレーニングも年1回実施されている。
マジックを使うというアイデアは、ピッツィーニ氏のボランティア活動の経験から生まれたものだ。同氏はトレーニングを積んだピエロであり、ピエロは特殊な才能を持つ。ピッツィーニ氏の場合、それはマジックだった。子供たちに教室でマジックを披露していたときは、学習効果を高めるためだった。同じテクニックを従業員のトレーニングに適用することを会社は許した。
ピッツィーニ氏はまた、年次イベントでもキャッチーなテーマとさまざまな賞を設定し、従業員の意欲を高めている。昨年のテーマは「責任から逃げるな」だった。休憩室でのコンテストでは、セキュリティ関連の質問に正しく答えた従業員に賞品としてアヒルのオモチャや魚の形をしたクラッカーを贈呈した。
「賞品は何でもかまわない。お菓子でも十分。人々を引き寄せ、セキュリティの話をするきっかけになればよい」と同氏は言う。
今年のテーマは「オリンピック」だ。イベントは先月行われたが、ゴムバンドのパチンコ大会もあり、スローガンは「セキュリティで金メダルを目指せ」だった。オリンピックをイメージした2008年のオフィスカレンダーには、セキュリティメッセージが含まれていた。「われわれはこういったものを活用して、少しでも面白くしたいと考えている」とピッツィーニ氏は言う。
従業員にメッセージを正しく伝えるために、毎週発信する電子メールのアップデートにはセキュリティヒントを掲載し、イントラネットのフロントページにはデイリーでセキュリティの最新情報を表示している。「目にする情報が多ければ多いほど、セキュリティに対する認識も高まる」とピッツィーニ氏。同氏はコンプライアンス・倫理部門のマネジャーでもある。
実際、セキュリティ認識トレーニングで最も重要なことは反復だ、と多くのセキュリティ専門家は指摘する。ユーザーが強力なパスワードの重要性を理解し、フィッシング詐欺に引っかからないようにするためには、何度もしつこくメッセージを伝える必要があるという。
「1回教えればそれでよし、というわけにはいかない。ずっとメッセージを送り続ける必要がある」と語るのは、ワシントンD.C.を本拠に9つの州をカバーする医療機関カイザー・パーマネント(従業員15万人)で情報セキュリティの認識およびトレーニングを担当するジョアン・ローズ氏だ。
またトレーニングは、毎回新しい内容である必要がある。同じメッセージを繰り返しても意味はない、とローズ氏は言う。加えて、メッセージは共鳴できるものでなければならない。「非常に難しい仕事だ。従業員は日常業務に忙殺されている。彼らの興味を引き付ける方法を見つけ出す必要がある」
10ベストプラクティス
カリフォルニア大学サンタクルズ校は、このリストをセキュリティ認識トレーニングプログラムの基本パートとして利用している。
1.簡単に推測できない暗号パスワードを使い、パスワードは他人に教えない。
2.インターネットを利用するときは用心する。
3.安全な電子メールのやり取りを実践する。
4.持ち場を離れるときは必ず安全確認する。
5.ラップトップコンピュータの安全を確保する。常に携帯するか、離れるときは必ずロックする。
6.コンピュータの前に誰もいなくなるときは、シャットダウン、ロック、ログオフ、あるいはスリープに。再起動、ウェークアップにはパスワードを設定する。
7.コンピュータにアンチウイルスソフトをインストールし、セキュリティパッチ、アップデートは必ず適用する。常にコンピュータを最新の状態に維持する。
8.機密情報やクリティカルなデータ、プロジェクト、ファイルは、適切に管理されていない限り、ポータブルデバイス(ラップトップコンピュータやCD、フロッピーディスク、メモリスティック、PDA、携帯電話など)に置かない。
9.未知または不要なプログラムをコンピュータにインストールしない。
10.重要なファイルやデータは必ずバックアップコピーを取り、安全な場所に保管する。
成功の鍵
専門家が指摘する効果的なトレーニングに不可欠な3つのポイント
エンドユーザー向けセキュリティ認識トレーニングを提供する非営利プロバイダのSCIPPインターナショナルとザ・セキュリティ・アウェアネス・カンパニー(旧インターパクト)の創立者、ウィン・シュワルトウ氏は、成功するトレーニングプログラムの3つのポイントを次のように指摘する。
1.繰り返す。「習慣を変えようとするときに重要なことは、何度も繰り返して実行することだ」
2.パーソナルにフォーカス。「ユーザーの興味を引くためには、パーソナルな問題にフォーカスせよ。家庭や家族や子供たちの保護だ」
3.楽しくする。「楽しくなければ続かない」
関連記事
学会のスパム対策:スパムの習性を逆手に取り検知率99%を実現した方法とは
迷惑メール被害に有効な対策を見つけられずにいた情報処理学会は、ミラポイントが実用化したスパム対策技術を採用し予想以上の改善を実現させた。
ITmedia エグゼクティブセミナーリポート:情報管理の“鍵”はエンドポイントセキュリティ
企業の情報をいかに安全に管理していくかは内部統制を進める上で重要になる。特にグローバル展開する大企業においては、グループ子会社やパートナー企業を多く抱えているため、情報管理の善しあしが企業の競争力に跳ね返る。
脆弱性管理の優先課題:パッチを当てて祈るだけではもう十分ではない
Information Security誌の調査によれば、米国企業のIT担当者はセキュリティ分野において、脅威と脆弱性の相関関係の分析が重要だと考えている。
データ保護の包括的アプローチ:データベースセキュリティとデータガバナンスが今年の優先課題
重要な機密データの保護は、多くの企業で優先的な取り組みと位置づけられている。米国でもデータガバナンスを最優先課題ととらえるユーザーは多く、必要なデータを抽出できる仕組み作りが大切だという意見が大半を占める。
なぜあの会社は叩かれたのか:危機が重大化する構造――危機の本質とは
企業の周りは、さまざまな危機が存在する。それらすべてを管理することは非常に困難だが、押さえておくべきポイントが存在する。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- 情報セキュリティ白書や10大脅威から見えてくる基本の大切さ――楽天グループ セキュリティエンジニア 原子拓氏
- 具体的な状況に基づいた議論こそが生み出す意味のあるセキュリティ対策とは――Armoris 鎌田敬介氏
- 運転手いらない自動運転「レベル4」路線バス 人手不足業界の救世主へ松山からGO
- ビジネスマンが睡眠を向上させ能力を進化させるために知っておくべき、7つの睡眠戦略
- 警察・自衛隊の合同拠点新設へ 能動的サイバー防御で東京・市谷に
- 東京、2月に行くべき無料のアート展3選
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
- パナソニックHDが組織再編 テレビ事業は「売却の覚悟あるが決まっていない」 楠見社長
- 「ITmedia エグゼクティブ DX eマガジン 2025 冬」(PDF)の提供開始
- 人気観光地で自動運転EVバスの実証実験 山梨・富士吉田市長「1年以内の実用化目指す」
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
ITmediaはアイティメディア株式会社の登録商標です。