セキュリティ研修を社内でやるか外部に委託するか決めるには、まずビジネスニーズを考慮し、研修の目的と対象者を決めることだ。
会社でセキュリティ啓発研修を実施すると決めたら、次に決めなければならないのは、それを社内でやるか、専門の研修会社に委託するかだ。
この決定に当たっては、まず自社のビジネスニーズと必要な研修の規模や種類、そしてどんな場合でもあてはまるが、自社で用意できるリソースとその費用を考慮しなければならない。
まず研修の目的と対象者を決定する。サーベンス・オクスリー法(SOX法)などのコンプライアンス基準を満たすためなのか、それとも最近相次ぐセキュリティ問題を受け、引き締めが必要だと感じているからなのか。従業員の望ましくない行為や、情報セキュリティの不健全を正すためなのか。あるいは情報流出によるイメージ低下を予防・回避するための取り組みなのか。
対象者も考慮が必要だ。経営陣か中間管理職か、それよりも下層の従業員か。研修の種類と、社内で行うか外部に委託すべきかはそれによって決まる。対象とする相手によってニーズは異なる。経営幹部なら、情報セキュリティに投資すべき理由とそれが業績に与える影響、会社の特色としてそれをどう売り込めるかを知りたいと思うだろう。管理職の場合、中間管理職であろうとなかろうと全レベルで同じ不安を抱えているが、それに加えてセキュリティの投資対効果により重点を置いた研修が必要になり、一般従業員に近い立場から情報セキュリティ上の安全な振る舞いについても幾つかポイントを押さえておきたい。
一方、一般従業員は極めて多種多様で、ニーズや興味もそれだけ幅広いものになる。非IT系従業員の大半には、情報の安全な取り扱いに関する基本的な研修が必要だ。社外秘の重要な顧客情報の保持、そうした情報を含んだ文書の適切な廃棄方法、パスワードやノートPCといった自分たちの個人情報と機器を守るといったことだ。
秘書やサポートスタッフには、ソーシャルエンジニアリングについて教えておかなければならない。組織内部に侵入して企業秘密や顧客情報を盗もうとする相手にとって最初の標的となるからだ。技術系社員の場合、安全なコードの書き方やネットワーク設定に関する実践的な研修など、もっと根本的な内容が求められるだろう。
次に考慮すべき要因は対象者の規模だ。全社員が対象となり(コンプライアンス上義務付けられているという理由もあり得る)、何千人もの従業員の研修が必要な場合、アウトソーシングの方が簡単かもしれない。大企業では外部の研修企業との折衝を担当する社内研修部門があるところも多い。ベンダーの教材のライセンスと著作権に関する取り決め次第では、自社の社員が講師となってその資料を使うことができる場合もあり、外部講師の出張と宿泊に掛かる経費を削減できる。
コンプライアンスに加え、全従業員を対象とした勤務評定の一環として、毎年セキュリティ啓発研修を義務付けている会社もある。大企業全体を網羅するもう1つの手段はWebベースの研修だ。これは手ごろな料金でアウトソーシングが可能だ。生身の講師は不要で、手ごろな研修パッケージが利用できることも多い。しかも研修担当者が自分たちで教材を作成する手間も省ける。
一方、セキュリティ部門の陣容が充実した大企業で、対象者が小人数あるいは特定層に的を絞る場合であれば、コストを掛けずに既存の資料で社内研修を行うことが可能だ。非技術系の一般社員向けに、悪徳ソーシャルエンジニアリングや顧客情報の安全な扱い方、パスワードのベストプラクティス、スパイウェアを避ける方法、会社の情報セキュリティポリシーについて、PowerPointでプレゼン資料を作成してもいい。
社内でやるか外部委託するかの大雑把な分かれ目として、1日当たりの講座時間と、1クラス25人で従業員200人を対象にする場合を試算してみるといい。社内に講師が3人いれば、おそらく約1週間で全員をカバーできるだろう。対象者がそれ以上多くなるようであれば社外に委託することだ。特に技術的な内容よりもビジネスに重点を置いた研修の場合はなおさらだ。
セキュリティ啓発研修を外部委託する場合の選択肢と、注意すべき点を以下に挙げる。
技術系の社員に対象を絞った安全なコーディングやセキュアなネットワーク設定に関する講座の場合、シマンテック、マイクロソフト、シシコステムズといった企業が1~2日の日程で各社のニーズに合ったプレゼンをしてくれることもある。こうしたサービスについて宣伝はしていないが、適切な条件を提示して頼めば、何らかの対応はしてくれる。
プレゼンテーション自体に掛かる経費のほかに、ライセンス料などの隠れた費用も注意を要する。パッケージを1度購入したらそれを再利用して自社の社員が教えてもいいのかどうかは要チェックだ。その教材を使ったクラスは先方の講師(出張費用はあなたの会社持ちとなる)が受け持たなければいけないと要求される場合もある。こうした講座の料金はまちまちだ。もともとあったパッケージや市販の製品・サービスを使う場合とは違い、自社のニーズに合わせた場合はなおさらだ。
原則として、対象者が多く広範な内容の研修が必要なら外部委託が賢明だが、人数が少なく専門的な内容になる場合、使えるリソースがあれば研修は社内で行った方がいい。
本稿筆者のジョエル・デュビン氏はCISSP(公認情報システムセキュリティ専門家)資格を持つ独立系コンピュータセキュリティコンサルタント。セキュリティ分野のマイクロソフトMVPに選ばれ、Web/アプリケーションセキュリティを専門とする。著書の「The Little Black Book of Computer Security」はアマゾンで購入できる。
Copyright © ITmedia, Inc. All Rights Reserved.
チョープロではVPNによるリモートアクセス環境を構築していた。しかし、VPNによるセキュリティ対策に限界を感じたことから、VPNに頼らないシステム環境の構築を目指した。同社が実現した「従業員に意識させないセキュアな環境」とは?
猛威を振るうランサムウェア攻撃に対抗するためには、脅威の最新動向を知ることが重要になる。そこで2024年版の「ランサムウェアレポート」から「攻撃の標的」「ランサムウェアファミリー」「効果的な防御戦略」などを紹介する。
多方面で事業を展開する大和証券グループでは、セキュリティを強化するためにゼロトラストへの転換を図った。そこで、あるゼロトラストセキュリティソリューションを導入し、短期間で実現したという。選定の理由や導入の効果を解説する。
半田病院への攻撃をはじめとし、医療業界は依然マルウェア攻撃やDDoS攻撃といったサイバー脅威に頻繁にさらされている。IoTやデジタル治療も普及する中、患者の健康情報を犯罪者から守り、多様な規制にも対応するにはどうすればよいのか。
教育機関を狙うサイバー攻撃が増加傾向にある。教育活動の安全を守るためには、セキュリティ強化が不可欠だが、多くの教育機関でインシデントに対処できる人材が不足している。本資料では、この問題を解決した大手前学園の事例を紹介する。
なぜクラウドセキュリティは複雑ではなく「包括的でシンプル」にすべきなのか? (2025/6/13)
「見える化」ではもう守れない アタックサーフェス管理の限界と次世代の対策 (2025/6/12)
中小企業が買うのは信用 L2スイッチ&認証技術で2つの企業が組んだ理由 (2025/6/5)
脱PPAPの壁はこう超える――PPAP文化を終わらせる現実解 (2025/5/19)
EDR、XDR、MDR それぞれの違いと導入企業が得られるものとは (2025/5/15)
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
