従業員はセキュリティで金メダルを目指せ【前編】:やりにくい仕事(2/2 ページ)
危機回避を迅速に判断できる点で、人間にかなうものはない。従って、セキュリティは従業員教育が基本だ。ただし教える側にも彼らに興味を持たせる工夫が必要である。時にはお菓子などの賞品で引き寄せることも。
マジック以外にも
モンタナ州のブルークロスでは、ピッツィーニ氏のマジックを組み込んだプレゼンテーションのほかにも、イントラネットを利用したオンライントレーニングやさまざまなイベント、ポスター、カレンダー、セキュリティ情報の提供を行っている。プレゼンテーションは新入社員向けに2週間に1度あるほか、全従業員を対象とする全社トレーニングも年1回実施されている。
マジックを使うというアイデアは、ピッツィーニ氏のボランティア活動の経験から生まれたものだ。同氏はトレーニングを積んだピエロであり、ピエロは特殊な才能を持つ。ピッツィーニ氏の場合、それはマジックだった。子供たちに教室でマジックを披露していたときは、学習効果を高めるためだった。同じテクニックを従業員のトレーニングに適用することを会社は許した。
ピッツィーニ氏はまた、年次イベントでもキャッチーなテーマとさまざまな賞を設定し、従業員の意欲を高めている。昨年のテーマは「責任から逃げるな」だった。休憩室でのコンテストでは、セキュリティ関連の質問に正しく答えた従業員に賞品としてアヒルのオモチャや魚の形をしたクラッカーを贈呈した。
「賞品は何でもかまわない。お菓子でも十分。人々を引き寄せ、セキュリティの話をするきっかけになればよい」と同氏は言う。
今年のテーマは「オリンピック」だ。イベントは先月行われたが、ゴムバンドのパチンコ大会もあり、スローガンは「セキュリティで金メダルを目指せ」だった。オリンピックをイメージした2008年のオフィスカレンダーには、セキュリティメッセージが含まれていた。「われわれはこういったものを活用して、少しでも面白くしたいと考えている」とピッツィーニ氏は言う。
従業員にメッセージを正しく伝えるために、毎週発信する電子メールのアップデートにはセキュリティヒントを掲載し、イントラネットのフロントページにはデイリーでセキュリティの最新情報を表示している。「目にする情報が多ければ多いほど、セキュリティに対する認識も高まる」とピッツィーニ氏。同氏はコンプライアンス・倫理部門のマネジャーでもある。
実際、セキュリティ認識トレーニングで最も重要なことは反復だ、と多くのセキュリティ専門家は指摘する。ユーザーが強力なパスワードの重要性を理解し、フィッシング詐欺に引っかからないようにするためには、何度もしつこくメッセージを伝える必要があるという。
「1回教えればそれでよし、というわけにはいかない。ずっとメッセージを送り続ける必要がある」と語るのは、ワシントンD.C.を本拠に9つの州をカバーする医療機関カイザー・パーマネント(従業員15万人)で情報セキュリティの認識およびトレーニングを担当するジョアン・ローズ氏だ。
またトレーニングは、毎回新しい内容である必要がある。同じメッセージを繰り返しても意味はない、とローズ氏は言う。加えて、メッセージは共鳴できるものでなければならない。「非常に難しい仕事だ。従業員は日常業務に忙殺されている。彼らの興味を引き付ける方法を見つけ出す必要がある」
10ベストプラクティス
カリフォルニア大学サンタクルズ校は、このリストをセキュリティ認識トレーニングプログラムの基本パートとして利用している。
1.簡単に推測できない暗号パスワードを使い、パスワードは他人に教えない。
2.インターネットを利用するときは用心する。
3.安全な電子メールのやり取りを実践する。
4.持ち場を離れるときは必ず安全確認する。
5.ラップトップコンピュータの安全を確保する。常に携帯するか、離れるときは必ずロックする。
6.コンピュータの前に誰もいなくなるときは、シャットダウン、ロック、ログオフ、あるいはスリープに。再起動、ウェークアップにはパスワードを設定する。
7.コンピュータにアンチウイルスソフトをインストールし、セキュリティパッチ、アップデートは必ず適用する。常にコンピュータを最新の状態に維持する。
8.機密情報やクリティカルなデータ、プロジェクト、ファイルは、適切に管理されていない限り、ポータブルデバイス(ラップトップコンピュータやCD、フロッピーディスク、メモリスティック、PDA、携帯電話など)に置かない。
9.未知または不要なプログラムをコンピュータにインストールしない。
10.重要なファイルやデータは必ずバックアップコピーを取り、安全な場所に保管する。
成功の鍵
専門家が指摘する効果的なトレーニングに不可欠な3つのポイント
エンドユーザー向けセキュリティ認識トレーニングを提供する非営利プロバイダのSCIPPインターナショナルとザ・セキュリティ・アウェアネス・カンパニー(旧インターパクト)の創立者、ウィン・シュワルトウ氏は、成功するトレーニングプログラムの3つのポイントを次のように指摘する。
1.繰り返す。「習慣を変えようとするときに重要なことは、何度も繰り返して実行することだ」
2.パーソナルにフォーカス。「ユーザーの興味を引くためには、パーソナルな問題にフォーカスせよ。家庭や家族や子供たちの保護だ」
3.楽しくする。「楽しくなければ続かない」
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
学会のスパム対策:スパムの習性を逆手に取り検知率99%を実現した方法とは
迷惑メール被害に有効な対策を見つけられずにいた情報処理学会は、ミラポイントが実用化したスパム対策技術を採用し予想以上の改善を実現させた。
ITmedia エグゼクティブセミナーリポート:情報管理の“鍵”はエンドポイントセキュリティ
企業の情報をいかに安全に管理していくかは内部統制を進める上で重要になる。特にグローバル展開する大企業においては、グループ子会社やパートナー企業を多く抱えているため、情報管理の善しあしが企業の競争力に跳ね返る。
脆弱性管理の優先課題:パッチを当てて祈るだけではもう十分ではない
Information Security誌の調査によれば、米国企業のIT担当者はセキュリティ分野において、脅威と脆弱性の相関関係の分析が重要だと考えている。
データ保護の包括的アプローチ:データベースセキュリティとデータガバナンスが今年の優先課題
重要な機密データの保護は、多くの企業で優先的な取り組みと位置づけられている。米国でもデータガバナンスを最優先課題ととらえるユーザーは多く、必要なデータを抽出できる仕組み作りが大切だという意見が大半を占める。
なぜあの会社は叩かれたのか:危機が重大化する構造――危機の本質とは
企業の周りは、さまざまな危機が存在する。それらすべてを管理することは非常に困難だが、押さえておくべきポイントが存在する。