現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか?


ほとんどの企業において、情報セキュリティ教育のコンテンツは一巡しています。新たに知るべく脅威などもありますが、ほぼ新しいコンテンツはありません。

技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。
一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。

企画担当者の方々からは、ネタが尽きたので「新しいアプローチで企画」を…と依頼されます。

受講者の方々のアンケート結果を見ると、感じ方は人それぞれですが、共通しているのが「何度も同じ話を聞いている」という意見です。

マネジメントの方々からは、研修を実施して受講させた⇒理解したという認識です。

このような研修セミナーに意義はありません。仮に意義があるならば、何度も同じ復習をしている結果としてセキュリティ事故が減らなければなりません。しかし、浸透しないから何度も行われていく…学習効果のない無限ループです。

セミナー研修の企画・講師・その後の理解度確認・ヒアリング等を行っていると、組織の縮図のようなものが鮮明に見えてきます。肌で感じる危機感でもあります。

アプローチを変えた、意味のあるコンテンツに変える必要があります。日々、どのようなことに興味をもっていただけるのか?を追求しています。

一般社員の方々には、自身に降りかかるリスク、うっかりしてしまう行動…等の日常の意識

マネジメントの方々には、漏洩手法、あやしい行動、実態の把握方法…等の守るための攻撃方法

受講される方々によって、内容も深さも変わってきます。危機回避のための方法が攻撃手口になりかねません。

浸透効果の見えにくい「セキュリティ教育」のアプローチを変えてみませんか?

3ステップ方式の情報セキュリティ・漏洩対策教育研修(参加型)

Step1 セキュリティ基礎学習 Step2 継続的意識啓発 Step3 事例シミュレーション・ケーススタディStep1
すでに実施している情報セキュリティ・漏洩対策の教育研修内容を見直し、不足部分のみ追加した無駄のない教育研修に変えていきます。

Step2
日常業務の中で起きる実例を元に日々1分~3分の短い研修を継続的に行います。一方的に聞くだけの座学式とは違い、教材のポイントを自ら理解し、短い時間でプレゼンすることで理解度が深まります。全員参加型なので他人事として聞き流すことはできません。
また、日常の端数時間を用いて反復する機会を設けることが意識向上には不可欠です。

Step3
今までのStep1~2で応用できる知識と能力を様々なシミュレーションの方式を用いてグループ学習します。テーマとゴールの設定により、難易度に応じた無限の演習プログラムが作成できます。
マンダラチャート等を使った演習では、攻撃側と防御側による攻防ゲームを行うことで、どのような弱点があり、強みがあるのかを実際に体験することから学び、日常で起こる「うっかりミス」等への気づき、他者への配慮、マネジメント等に生かすことができる危機管理能力を向上させます。

時間と手間はかかりますが、運動やダイエットと同じく習慣化することで仕組みの構築ができてしまえば、回っていきます。年に数回程度の研修だけで情報セキュリティの意識が上がらないのは当然のことで、地道な活動を通じて「意識啓発」の向上が実現します。

テーマの例【内容・対象別】

「ここだけは押さえたい情報漏洩の基礎知識と企業防衛」【内容:基礎 / 対象:初心者】
はじめて情報セキュリティの講習を受ける初心者の方向け、入門基礎編です。
「知っておきたい情報の重要性と漏洩の被害リスク」と
「情報セキュリティとインターネットの基礎」から、
「日常の行動に潜むリスク」と「情報漏洩事件の検証」、「情報漏洩を防ぐ行動と対策」まで、
従来の座学講座とは異なる視点から注意喚起を行います。情報漏洩の実態を幅広く知る内容です。

「情報漏洩の実態と被害から考える日常の実践的手法と応用 」【内容:実践編 / 対象:一般社員】
既に基礎的な知識を持っている方向け、日常の様々な場面で実践的に使える手法を伝授します。
「情報セキュリティとマネジメント」と
「セキュリティ視点のリスクマネジメント」から
「身近な日常の中に潜むリスクと実践的回避対策」
「漏洩事件にみる波及効果と損害賠償範囲」
「最近の事件事例と注意ポイント」まで、
セキュリティにおける事象の捉え方の視点、すぐに使えるパスワードの作り方等の実践的手法、リスク回避の応用方法など実践セキュリティプログラムで構成されます。

「攻撃視点からしか見えない情報セキュリティと漏洩対策のマネジメントポイント」【内容:実践編 / 対象:管理職】
情報セキュリティ・漏洩対策は大きく別けると、管理対策する側(マネジメント)と管理される側(従業員)にわかれます。
それぞれの立場では考え方も捉え方も異なります。攻撃と防御の立場も対極に位置します。
「性善と性悪、表と裏、攻撃と防御の視点」
「管理する側vs管理される側のマネジメント」
「事件事例の裏側を読み解きイメージしないと見えないもの」
「弱点の認識と捉え方から強みに変える視点」
徹底した立場の入替思考、イメージ、シミュレーションから異なる立場の疑似体験をする。その両視点を持つことで、360度全方向のマネジメントポイントを確保できます。

「疑似体験:攻撃と防衛のケーススタディ」【内容:ケーススタディ / 対象:実践編以上の既受講者】
直近の事故や事例等を用いて、ケーススタディを行います。最低2つのグループに別け攻防ゲーム形式で進行していきます。一方的受講の座学研修と違い、テーマを考え、討議し、発表するプロセスが意識啓発に重要な体験となります。
テーマは具体的なものから、抽象的なもの、テーマ自体のプレゼン提案してもらう等、難易度によって構成を変えていきます。
疑似シミュレーションでは攻防の入替により、両面の立場を体験することにより微妙な差異から対策ポイントが鮮明に見えてきます。
テーマ、時間参加人数等に制限がありますので事前にお問い合わせください。

「直近で起きた社内事故や身近な漏洩事例」は、どのテーマよりも受講者へ響きます。
・事件がニュース等で見たものではなく、実際に身近で発生したもの
・漏洩当事者は、よく知る同僚
・漏洩被害者の属性や状況も、ネット等で見聞きしたものでなく目の当たりで体感したもの

事前にご相談の上、状況に応じたゴールの設定をしますので、効果は高いものになります。

全体のセキュリティ強度を向上する⇒1人1人の「意識と行動」の習慣化

鎖は一番”弱い輪”以上に強くなれない(ブルース・シュナイアー)

どれ程の強い鎖であっても、たった1ヶ所でも弱っていれば、全体の強度は「弱い鎖」と同レベルまで低下します。

例えば、グループウェア等「1人でも安易なパスワード」を使っていることで、そのシステムの入口となる強度は弱い鎖(1人のパスワード)まで低下します。

例え簡単なレベルのセキュリティ対策であっても、全体の底上げが出来るのであれば、弱い鎖のままよりは「よほど効果的」であり「最も有効な方法」の1つとなります。
しかし、弱点を見つめる方法も解らず、その補強なしに「強度」ばかりを追及する対策では、「強い鎖はより強く」なるだけで全体の強度は「まったく上がっていません」
上の鎖と同じ状態のままで…しなやかさも欠け「ブチッ」と・・・いつ切れてもおかしくない組織を多く見てきました。