検索
特集

情報セキュリティは楽しく学ぶもの?【後編】やりにくい仕事(1/2 ページ)

子ども向けのガイドライン、社内ニュースレター、MP3による音声配信など、あの手この手を使って各企業とも従業員のセキュリティトレーニングに取り組んでいる。ポイントは「楽しみ」を与えることだという。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

前編:「従業員はセキュリティで金メダルを目指せ」はこちら


家庭をねらえ

 企業が従業員とセキュリティで連携するための1つの方法は、ホームコンピュータのセキュリティヒントを提供することだ。

 米国の医療機関カイザー・パーマネントのトレーニングプログラムには、非技術系従業員向けのセキュリティ専用コーポレートウェブサイトが用意されている。そこにはHIPAA(Health Insurance Portability and Accountability Act)などの法規や会社のセキュリティポリシーに関する情報に加え、ホームコンピュータ向けのセキュリティアドバイスや子供たちを有害サイトから守る方法などが掲載されている。

 「自宅でしっかりとしたセキュリティプラクティスを実践していれば、職場でも同様のセキュリティプラクティスを実践するはずだ、というのがわたしの考え」とローズ氏。

 Webサイトには、カイザーのチュートリアルも用意されている。このチュートリアルは、オンラインと電話によるインストラクタ指導を組み合わせたハイブリッド版だ。ローズ氏はまた、カイザーのさまざまな従業員向けイベントに出席して、ラップトップのセキュリティヒントやそのほかのトピックスをまとめたチラシを配布したり、従業員向けニュースレターやそのほかの発行物にセキュリティヒントを掲載するなどの活動を行っている。

 「人々は基本的に正しい行動を取りたいと思っているが、正しい行動がどのようなものであるかを知らない。そのため、こうした活動は非常に効果的だ」と同氏は語る。

 従業員1000人を擁する気象情報プロバイダのザ・ウェザー・チャンネルでも、四半期ベースのトレーニングセッションで、ホームコンピュータセキュリティがポピュラーな話題として取り上げられてきた(別掲「親のためのガイドライン」参照)。

 「ホームシステムのセキュリティを日常的に考えるようになれば、自然とそのほかの環境のセキュリティにも関心が向く。そうした態度は当然、社内のセキュリティの強化につながる」とペンロッド氏。

 トレーニングセッションは通常、1つのテーマに絞って行われる。例えば、子供を有害サイトやマルウェアから守る方法、あるいはフィッシング詐欺に引っ掛からない方法などだ。「あまりに多くのことを詰め込みすぎると逆効果になる」とペンロッド氏。またセキュリティ認識は、ほかの社内トレーニングと組み合わせたほうが効果が上がるという。

 セキュリティのプロモーションは経営陣からのサポートがあるとやりやすい、と同氏は付け加える。例えば、セキュリティトレーニングのときは業務を離れてもよいとする暗黙の了解などだ。

フレキシビリティとカスタマイゼーション

 ロードアイランド州プロビデンスを本拠とする医療機関ケア・ニューイングランド・ヘルス・システムでは、重要データを取り扱う場合のコンピュータプラクティスとコーポレートポリシーに関する従業員教育に多面的なアプローチを採用している。オンライントレーニングは新人教育向けと年1回の一般従業員向けがあり、トレーニング講座を四半期ごとに開設するほか、隔月でニュースレターを発行し、そこに掲載した記事をMP3の音声形式で提供している。全従業員1万5000人をカバーするためには、こうしたフレキシブルな手法が不可欠であるからだ。

 「従業員たちは皆非常に忙しく、トレーニングを受ける時間をなかなか作れない」と語るのは、ケア・ニューイングランドのISセキュリティおよび災害復旧担当マネジャー、ラリー・ペッシェ氏だ。「われわれは当初、これらのトレーニングを電子メールで実施しようと考えた。まさか従業員の多くが電子メールにまったくアクセスしていないなど考えもしなかったからだ」

 実際、看護師たちは患者のケアで目が回るほど忙しく、電子メールをチェックする暇はほとんどない。しかしイントラネットで視聴できるMP3であれば、コンピュータの前に座ってニュースレターを読む時間がなくても、仕事中にバックグラウンドで聞くことは可能だ。

 北カリフォルニアのコミュニティバンク、フレモント銀行のデータセキュリティマネジャー、ジャスティン・ドレイン氏も、従業員600人を対象に行うセキュリティ認識プログラムにさまざまなテクニックを用いている。対面式のトレーニングが最もインパクトがあるというドレイン氏は、プレゼンテーションにスパイスとしてジョークを織り交ぜ、聴衆を楽しませながらセキュリティの重要性を訴える。

 「ITについて何も知らない人々に高度な概念を理解してもらわなければならない」と同氏。そのためプレゼンテーションは、それぞれの職場に固有のセキュリティ問題を取り上げ、従業員グループごとに内容を調整する。例えば、窓口業務とデータ入力業務では、当然プレゼンテーションの中身を変えるという。しかし、「最もコスト効率のよい方法は、Webベースのトレーニングだ」と同氏は言う。非常に柔軟性が高く、平日の休憩時間でもアクセスできるからだ。

 いずれにしても、重要な点は、セキュリティの適用方法について従業員の理解を助けることだ。「セキュリティに積極的に関与し、ユーザーとして成長してもらいたい。こうすればもっと仕事がしやすくなる、クライアントのサポートを強化できると感じてもらいたい」と同氏は願う。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ
ページトップに戻る