テレワークやクラウドサービスの浸透を背景とし、従来型の境界防御にいよいよ限界が訪れている。これを受け多くの組織で「ゼロトラスト」の実現が目指されているのだが、攻撃者はシステムだけでなく「人の脆弱性」も標的にして攻撃を仕掛けてくる。技術面に焦点を当てた対策だけでは、セキュリティリスクを限りなく小さくすることは困難だ。
 |
技術的対策と同時に従業員のセキュリティ意識も強化していくことが求められているが、セキュリティ教育を実施してもそこでの内容が形骸化してしまっているケースが少なくない。事実、総務省が2020年に実施した調査(※)では、セキュリティ確保への具体的な課題の2位に「社員のセキュリティ意識強化やコンプライアンスリスク対策」が挙がっており、当該テーマに対する組織の高い課題意識がうかがえる。
(※) 2020年10月 総務省「テレワークセキュリティに係る実態調査 1次実態調査 報告書」
形骸的でなく本質的に従業員のセキュリティ意識を変えるには、どうすればよいのか。JBサービスが公開するホワイトペーパーでは、セキュリティ教育が形骸化する理由とそこへの対策を解説している。本稿ではその中から一部を抜粋して紹介したい。
JBサービス提供資料
これまでとは違う セキュリティ意識向上トレーニングとは
> > 資料ダウンロードはこちら
なぜセキュリティ教育は形骸化してしまうのか
すでに多くの組織のなかで、疑似攻撃メールによる標的型メール訓練やeラーニングといった形でセキュリティ教育が行われている。確かにこれらは、従業員の意識向上にはつながる。しかし、残念ながらその効果は一時的、一過性のものであることが多い。
なぜセキュリティ教育は形骸化してしまう傾向にあるのか。JBサービスはホワイトペーパーのなかで、主な要因として以下の5つを挙げている。
| 1.社員の理解度が可視化できない |
|---|
| 2.教育実施後の変化が確認できない |
| 3.実践的な教育を取り入れていない |
| 4.教育対象者のフォローが不足している |
| 5.セキュリティ教育に時間が割けない |
セキュリティ担当者にとっては共感できる項目が並んでいるのではないだろうか。[1]でいうと、標的型メール攻撃訓練を実施したとして、添付ファイル等を開いてしまった人数やその後の集合研修を受けた人の集計は可能だろう。しかし、”どの程度理解できているのか” について数値化するのはきわめて困難だ。たとえ理解度テストへの回答を従業員に課したとして、社員同士で回答が出回るなどの報告が多く寄せられる中にあっては、そもそも正しく計測できているかどうかが疑問である。
従業員の理解度が可視化できない以上は[2]の項目にある変化についても確認ができないし、セキュリティ教育上で何が不足しているのか、フォローは適切なのか、などを分析することもかなわない。セキュリティ意識を本質的に変えるうえでは、まず従業員の理解度を可視化すること、そのうえで、個々の教育施策について効果を検証し、PDCAを回していくことが求められる。
ただ、先述したように、理解度の可視化はそれ自体が困難なものだ。方法論に悩む担当者は多いことだろう。また、技術的対策に時間がとられ、セキュリティ教育にリソースが割けないというIT担当者も数多い。そうした方には、ぜひ下のリンクよりホワイトペーパーをダウンロードしていただきたい。資料ではセキュリティ教育が形骸化する理由を細かく解説するほか、本質的なセキュリティ教育を施すうえで有効なソリューションを紹介している。
ニューノーマル時代を受け、従業のセキュリティ教育を強化することがこれまで以上に強く求められている。資料を参照のうえ、セキュリティリスクの最小化に向けた歩みを進めてほしい。
ダウンロード資料のご案内
JBサービス提供資料
これまでとは違う セキュリティ意識向上トレーニングとは
> > 資料ダウンロードはこちら
[PR]提供:JBサービス