従業員はセキュリティで金メダルを目指せ【前編】やりにくい仕事(2/2 ページ)

» 2008年08月25日 10時55分 公開
[Marcia Savage,ITmedia]
前のページへ 1|2       

マジック以外にも

 モンタナ州のブルークロスでは、ピッツィーニ氏のマジックを組み込んだプレゼンテーションのほかにも、イントラネットを利用したオンライントレーニングやさまざまなイベント、ポスター、カレンダー、セキュリティ情報の提供を行っている。プレゼンテーションは新入社員向けに2週間に1度あるほか、全従業員を対象とする全社トレーニングも年1回実施されている。

 マジックを使うというアイデアは、ピッツィーニ氏のボランティア活動の経験から生まれたものだ。同氏はトレーニングを積んだピエロであり、ピエロは特殊な才能を持つ。ピッツィーニ氏の場合、それはマジックだった。子供たちに教室でマジックを披露していたときは、学習効果を高めるためだった。同じテクニックを従業員のトレーニングに適用することを会社は許した。

 ピッツィーニ氏はまた、年次イベントでもキャッチーなテーマとさまざまな賞を設定し、従業員の意欲を高めている。昨年のテーマは「責任から逃げるな」だった。休憩室でのコンテストでは、セキュリティ関連の質問に正しく答えた従業員に賞品としてアヒルのオモチャや魚の形をしたクラッカーを贈呈した。

 「賞品は何でもかまわない。お菓子でも十分。人々を引き寄せ、セキュリティの話をするきっかけになればよい」と同氏は言う。

 今年のテーマは「オリンピック」だ。イベントは先月行われたが、ゴムバンドのパチンコ大会もあり、スローガンは「セキュリティで金メダルを目指せ」だった。オリンピックをイメージした2008年のオフィスカレンダーには、セキュリティメッセージが含まれていた。「われわれはこういったものを活用して、少しでも面白くしたいと考えている」とピッツィーニ氏は言う。

 従業員にメッセージを正しく伝えるために、毎週発信する電子メールのアップデートにはセキュリティヒントを掲載し、イントラネットのフロントページにはデイリーでセキュリティの最新情報を表示している。「目にする情報が多ければ多いほど、セキュリティに対する認識も高まる」とピッツィーニ氏。同氏はコンプライアンス・倫理部門のマネジャーでもある。

 実際、セキュリティ認識トレーニングで最も重要なことは反復だ、と多くのセキュリティ専門家は指摘する。ユーザーが強力なパスワードの重要性を理解し、フィッシング詐欺に引っかからないようにするためには、何度もしつこくメッセージを伝える必要があるという。

 「1回教えればそれでよし、というわけにはいかない。ずっとメッセージを送り続ける必要がある」と語るのは、ワシントンD.C.を本拠に9つの州をカバーする医療機関カイザー・パーマネント(従業員15万人)で情報セキュリティの認識およびトレーニングを担当するジョアン・ローズ氏だ。

 またトレーニングは、毎回新しい内容である必要がある。同じメッセージを繰り返しても意味はない、とローズ氏は言う。加えて、メッセージは共鳴できるものでなければならない。「非常に難しい仕事だ。従業員は日常業務に忙殺されている。彼らの興味を引き付ける方法を見つけ出す必要がある」

10ベストプラクティス

カリフォルニア大学サンタクルズ校は、このリストをセキュリティ認識トレーニングプログラムの基本パートとして利用している。

1.簡単に推測できない暗号パスワードを使い、パスワードは他人に教えない。

2.インターネットを利用するときは用心する。

3.安全な電子メールのやり取りを実践する。

4.持ち場を離れるときは必ず安全確認する。

5.ラップトップコンピュータの安全を確保する。常に携帯するか、離れるときは必ずロックする。

6.コンピュータの前に誰もいなくなるときは、シャットダウン、ロック、ログオフ、あるいはスリープに。再起動、ウェークアップにはパスワードを設定する。

7.コンピュータにアンチウイルスソフトをインストールし、セキュリティパッチ、アップデートは必ず適用する。常にコンピュータを最新の状態に維持する。

8.機密情報やクリティカルなデータ、プロジェクト、ファイルは、適切に管理されていない限り、ポータブルデバイス(ラップトップコンピュータやCD、フロッピーディスク、メモリスティック、PDA、携帯電話など)に置かない。

9.未知または不要なプログラムをコンピュータにインストールしない。

10.重要なファイルやデータは必ずバックアップコピーを取り、安全な場所に保管する。



成功の鍵

専門家が指摘する効果的なトレーニングに不可欠な3つのポイント

エンドユーザー向けセキュリティ認識トレーニングを提供する非営利プロバイダのSCIPPインターナショナルとザ・セキュリティ・アウェアネス・カンパニー(旧インターパクト)の創立者、ウィン・シュワルトウ氏は、成功するトレーニングプログラムの3つのポイントを次のように指摘する。

1.繰り返す。「習慣を変えようとするときに重要なことは、何度も繰り返して実行することだ」

2.パーソナルにフォーカス。「ユーザーの興味を引くためには、パーソナルな問題にフォーカスせよ。家庭や家族や子供たちの保護だ」

3.楽しくする。「楽しくなければ続かない」


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

根来龍之

早稲田大学商学学術院教授

根来龍之

小尾敏夫

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

郡山史郎

株式会社CEAFOM 代表取締役社長

郡山史郎

西野弘

株式会社プロシード 代表取締役

西野弘

森田正隆

明治学院大学 経済学部准教授

森田正隆