情報セキュリティは楽しく学ぶもの?【後編】:やりにくい仕事(1/2 ページ)
子ども向けのガイドライン、社内ニュースレター、MP3による音声配信など、あの手この手を使って各企業とも従業員のセキュリティトレーニングに取り組んでいる。ポイントは「楽しみ」を与えることだという。
前編:「従業員はセキュリティで金メダルを目指せ」はこちら
家庭をねらえ
企業が従業員とセキュリティで連携するための1つの方法は、ホームコンピュータのセキュリティヒントを提供することだ。
米国の医療機関カイザー・パーマネントのトレーニングプログラムには、非技術系従業員向けのセキュリティ専用コーポレートウェブサイトが用意されている。そこにはHIPAA(Health Insurance Portability and Accountability Act)などの法規や会社のセキュリティポリシーに関する情報に加え、ホームコンピュータ向けのセキュリティアドバイスや子供たちを有害サイトから守る方法などが掲載されている。
「自宅でしっかりとしたセキュリティプラクティスを実践していれば、職場でも同様のセキュリティプラクティスを実践するはずだ、というのがわたしの考え」とローズ氏。
Webサイトには、カイザーのチュートリアルも用意されている。このチュートリアルは、オンラインと電話によるインストラクタ指導を組み合わせたハイブリッド版だ。ローズ氏はまた、カイザーのさまざまな従業員向けイベントに出席して、ラップトップのセキュリティヒントやそのほかのトピックスをまとめたチラシを配布したり、従業員向けニュースレターやそのほかの発行物にセキュリティヒントを掲載するなどの活動を行っている。
「人々は基本的に正しい行動を取りたいと思っているが、正しい行動がどのようなものであるかを知らない。そのため、こうした活動は非常に効果的だ」と同氏は語る。
従業員1000人を擁する気象情報プロバイダのザ・ウェザー・チャンネルでも、四半期ベースのトレーニングセッションで、ホームコンピュータセキュリティがポピュラーな話題として取り上げられてきた(別掲「親のためのガイドライン」参照)。
「ホームシステムのセキュリティを日常的に考えるようになれば、自然とそのほかの環境のセキュリティにも関心が向く。そうした態度は当然、社内のセキュリティの強化につながる」とペンロッド氏。
トレーニングセッションは通常、1つのテーマに絞って行われる。例えば、子供を有害サイトやマルウェアから守る方法、あるいはフィッシング詐欺に引っ掛からない方法などだ。「あまりに多くのことを詰め込みすぎると逆効果になる」とペンロッド氏。またセキュリティ認識は、ほかの社内トレーニングと組み合わせたほうが効果が上がるという。
セキュリティのプロモーションは経営陣からのサポートがあるとやりやすい、と同氏は付け加える。例えば、セキュリティトレーニングのときは業務を離れてもよいとする暗黙の了解などだ。
フレキシビリティとカスタマイゼーション
ロードアイランド州プロビデンスを本拠とする医療機関ケア・ニューイングランド・ヘルス・システムでは、重要データを取り扱う場合のコンピュータプラクティスとコーポレートポリシーに関する従業員教育に多面的なアプローチを採用している。オンライントレーニングは新人教育向けと年1回の一般従業員向けがあり、トレーニング講座を四半期ごとに開設するほか、隔月でニュースレターを発行し、そこに掲載した記事をMP3の音声形式で提供している。全従業員1万5000人をカバーするためには、こうしたフレキシブルな手法が不可欠であるからだ。
「従業員たちは皆非常に忙しく、トレーニングを受ける時間をなかなか作れない」と語るのは、ケア・ニューイングランドのISセキュリティおよび災害復旧担当マネジャー、ラリー・ペッシェ氏だ。「われわれは当初、これらのトレーニングを電子メールで実施しようと考えた。まさか従業員の多くが電子メールにまったくアクセスしていないなど考えもしなかったからだ」
実際、看護師たちは患者のケアで目が回るほど忙しく、電子メールをチェックする暇はほとんどない。しかしイントラネットで視聴できるMP3であれば、コンピュータの前に座ってニュースレターを読む時間がなくても、仕事中にバックグラウンドで聞くことは可能だ。
北カリフォルニアのコミュニティバンク、フレモント銀行のデータセキュリティマネジャー、ジャスティン・ドレイン氏も、従業員600人を対象に行うセキュリティ認識プログラムにさまざまなテクニックを用いている。対面式のトレーニングが最もインパクトがあるというドレイン氏は、プレゼンテーションにスパイスとしてジョークを織り交ぜ、聴衆を楽しませながらセキュリティの重要性を訴える。
「ITについて何も知らない人々に高度な概念を理解してもらわなければならない」と同氏。そのためプレゼンテーションは、それぞれの職場に固有のセキュリティ問題を取り上げ、従業員グループごとに内容を調整する。例えば、窓口業務とデータ入力業務では、当然プレゼンテーションの中身を変えるという。しかし、「最もコスト効率のよい方法は、Webベースのトレーニングだ」と同氏は言う。非常に柔軟性が高く、平日の休憩時間でもアクセスできるからだ。
いずれにしても、重要な点は、セキュリティの適用方法について従業員の理解を助けることだ。「セキュリティに積極的に関与し、ユーザーとして成長してもらいたい。こうすればもっと仕事がしやすくなる、クライアントのサポートを強化できると感じてもらいたい」と同氏は願う。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- なぜあの人は、いつも成果を出せるのか?── 「ほんとうに」仕事ができる人が持つ2つの資質
- 管理職としてZ世代を率いるリーダーが、チームビルディングのために意識すべき「3つのこと」とは?
- 日産、高性能EVへ「リチウム金属負極」 採用の全固体電池 エネルギー密度、従来の2倍
- 「志村の笑いは本物」……俳優・寺田農さんが産経新聞読書面に残した28本のコラムを読む
- 富士フイルム、ヘルスケアや半導体を中心に1.9兆円投資 今後3年間で
- 「ITmedia エグゼクティブ DX eマガジン 2024春」(PDF)の提供開始
- 事業規模2倍に「社員はイエスマンにならないで」シャトレーゼ社長、斉藤貴子さん
- ヤマト運輸と佐川急便、1日から値上げ 「2024年問題」でドライバー不足など顕在化
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
- 東京、4月から5月に行くべきアート展
事務局からのお知らせ
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
ITmediaはアイティメディア株式会社の登録商標です。