従業員はセキュリティで金メダルを目指せ【前編】:やりにくい仕事(1/2 ページ)
危機回避を迅速に判断できる点で、人間にかなうものはない。従って、セキュリティは従業員教育が基本だ。ただし教える側にも彼らに興味を持たせる工夫が必要である。時にはお菓子などの賞品で引き寄せることも。
セキュリティ担当者の最も困難な仕事の1つ:それはユーザーへのセキュリティ教育だ。忙しい日常業務の中で従業員の注目を集めるにはどうすればよいか? 見破られないパスワードの必要性を認識し、理解してもらうには? あるいは、安易に電子メールの添付ファイルをオープンしないように気をつけてもらうには?
こうしたジレンマを解決するために、リン・ピッツィーニ氏はトリックがいっぱい詰まったバッグを用意した。文字どおり、マジックのバッグだ。同氏は、モンタナ州の生命保険会社ブルークロス・アンド・ブルーシールドのトレーニングプレゼンテーションにマジックを持ち込んだ。マジックの1つは、色とりどりのスカーフを使って、パスワードの大切さを説くものだ。さまざまな色のスカーフを袋に入れて呪文を唱えると、マルチカラーのスカーフが出来上がる。
もう1つのマジックは、従業員がデータへアクセスするときに最もセキュリティリスクが高まることを理解してもらうためのものだ。ピッツィーニ氏は、プレゼンテーションで取り上げる7つのセキュリティリスクを書いたカードを誰かにシャッフルしてもらい、テーブルに並べる。そして英単語の”right”のつづりを発音しながら、カードを1枚ずつめくる(なぜ“right”かというと、従業員は常に“正しい”行いをしてもらいたいからだという)。最後の文字“t”のとき、必ず“employees”(従業員)のカードが現れる仕掛けだ。
ブルークロスのセキュリティおよびプライバシー担当役員を務めるピッツィーニ氏は、数年前、700人の従業員を対象に行ったプレゼンテーションの中でマジックを使い、大きな効果があることを発見した。その後しばらく、従業員たちはそのときのトリックを覚えていたのだ。「マジックが効果的であることを実感した」と同氏は振り返る。
ピッツィーニ氏の手法は多少奇抜かもしれないが、ほかの多くの企業でもオンラインチュートリアルやニュースレター、MP3、あるいは各種の賞を設定するなど、一般社員にセキュリティメッセージを徹底するためにさまざまな努力を続けている。それらはいずれも“人間”という最もぜい弱なリンクからシステムを保護するために行われている。企業は、ファイアウォールやアクセス制御など、コストのかかるセキュリティ技術を数多く導入している。だが従業員たちは、パスワードを共有したり、ソーシャルエンジニアリングに引っ掛かったり、あるいは単に会社のセキュリティポリシーを知らなかったりして、そうした防衛メカニズムをいとも簡単に無力化してしまうのだ(別掲「10ベストプラクティス」参照)。
デロイト・トウシュ・トーマツの「2007年グローバルセキュリティ調査」では、回答した金融機関の80%近くが情報セキュリティの失敗原因に「人的要因」を挙げている。そうした脅威にもかかわらず、同調査に協力した企業のほぼ4分の1は昨年、従業員を対象としたセキュリティ認識トレーニングを実施していない。
「多くの企業は非技術系ユーザーを後回しにして、ITワーカーのトレーニングのみにフォーカスしている。セキュリティは技術問題という認識だ」と、トレーニング会社セーフライト・セキュリティ・アドバイザのCEO(最高経営責任者)、ロブ・シャイン氏は語る。しかし昨今の法規制やセキュリティ犯罪の増加を背景に、より多くの企業がフォーカスの範囲を広げつつある。「意識改革は進みつつある」と話するのは、エンドユーザー向けのセキュリティ認識トレーニングと認定を行う非営利プロバイダ、SCIPPインターナショナルの創立者ウィン・シュワルトウ氏だ(別掲「成功の鍵」を参照)。
事実、企業経営においては今日、ガバナンス、リスクマネジメント、コンプライアンスとともに、認識トレーニングの重要性がますます高まりつつある。前ホワイトハウス・サイバーセキュリティアドバイザで、(ISC)2セキュリティストラテジストのホワード・シュミット氏はこう指摘する。「昔も今も、最もぜい弱なリンクは従業員とエンドユーザーだ」
コンプライアンスはもとより、非技術系ユーザーのトレーニングは情報セキュリティ対策の根幹だとするセキュリティ専門家は多い。
「もちろんトレーニングだけで、すべてのセキュリティ問題が解決できるわけではない。しかし従業員の認識を高めることで、企業のセキュリティレベルは格段に向上する」と、ザ・ウェザー・チャンネルのCISOジョン・ペンロッド氏は語る。
Copyright © ITmedia, Inc. All Rights Reserved.