マイナビニュースマイナビ
【特別企画】

従業員のセキュリティ意識を本質的に変える手立てとは?

[2021/08/30 10:00] ブックマーク ブックマーク

テレワークやクラウドサービスの浸透を背景とし、従来型の境界防御にいよいよ限界が訪れている。これを受け多くの組織で「ゼロトラスト」の実現が目指されているのだが、攻撃者はシステムだけでなく「人の脆弱性」も標的にして攻撃を仕掛けてくる。技術面に焦点を当てた対策だけでは、セキュリティリスクを限りなく小さくすることは困難だ。

テレワークセキュリティに係る実態調査 1次実態調査 報告書

技術的対策と同時に従業員のセキュリティ意識も強化していくことが求められているが、セキュリティ教育を実施してもそこでの内容が形骸化してしまっているケースが少なくない。事実、総務省が2020年に実施した調査(※)では、セキュリティ確保への具体的な課題の2位に「社員のセキュリティ意識強化やコンプライアンスリスク対策」が挙がっており、当該テーマに対する組織の高い課題意識がうかがえる。
(※) 2020年10月 総務省「テレワークセキュリティに係る実態調査 1次実態調査 報告書」

形骸的でなく本質的に従業員のセキュリティ意識を変えるには、どうすればよいのか。JBサービスが公開するホワイトペーパーでは、セキュリティ教育が形骸化する理由とそこへの対策を解説している。本稿ではその中から一部を抜粋して紹介したい。

JBサービス提供資料
これまでとは違う セキュリティ意識向上トレーニングとは
> > 資料ダウンロードはこちら

なぜセキュリティ教育は形骸化してしまうのか

すでに多くの組織のなかで、疑似攻撃メールによる標的型メール訓練やeラーニングといった形でセキュリティ教育が行われている。確かにこれらは、従業員の意識向上にはつながる。しかし、残念ながらその効果は一時的、一過性のものであることが多い。

なぜセキュリティ教育は形骸化してしまう傾向にあるのか。JBサービスはホワイトペーパーのなかで、主な要因として以下の5つを挙げている。

1.社員の理解度が可視化できない
2.教育実施後の変化が確認できない
3.実践的な教育を取り入れていない
4.教育対象者のフォローが不足している
5.セキュリティ教育に時間が割けない


セキュリティ担当者にとっては共感できる項目が並んでいるのではないだろうか。[1]でいうと、標的型メール攻撃訓練を実施したとして、添付ファイル等を開いてしまった人数やその後の集合研修を受けた人の集計は可能だろう。しかし、”どの程度理解できているのか” について数値化するのはきわめて困難だ。たとえ理解度テストへの回答を従業員に課したとして、社員同士で回答が出回るなどの報告が多く寄せられる中にあっては、そもそも正しく計測できているかどうかが疑問である。

従業員の理解度が可視化できない以上は[2]の項目にある変化についても確認ができないし、セキュリティ教育上で何が不足しているのか、フォローは適切なのか、などを分析することもかなわない。セキュリティ意識を本質的に変えるうえでは、まず従業員の理解度を可視化すること、そのうえで、個々の教育施策について効果を検証し、PDCAを回していくことが求められる

ただ、先述したように、理解度の可視化はそれ自体が困難なものだ。方法論に悩む担当者は多いことだろう。また、技術的対策に時間がとられ、セキュリティ教育にリソースが割けないというIT担当者も数多い。そうした方には、ぜひ下のリンクよりホワイトペーパーをダウンロードしていただきたい。資料ではセキュリティ教育が形骸化する理由を細かく解説するほか、本質的なセキュリティ教育を施すうえで有効なソリューションを紹介している。

ニューノーマル時代を受け、従業のセキュリティ教育を強化することがこれまで以上に強く求められている。資料を参照のうえ、セキュリティリスクの最小化に向けた歩みを進めてほしい。

ダウンロード資料のご案内

JBサービス提供資料
これまでとは違う セキュリティ意識向上トレーニングとは
> > 資料ダウンロードはこちら

[PR]提供:JBサービス

この記事に興味を持ったら"いいね!"を Click
Facebook で TECH+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
Slackで始める新しいオフィス様式
Google Workspaceをビジネスで活用する
ニューノーマル時代のオウンドメディア戦略
ミッションステートメント
次世代YouTubeクリエイターの成長戦略
IoTでできることを見つけるための発想トレーニング
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
マイクロサービス時代に活きるフレームワーク Spring WebFlux入門
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る