せっかくセキュリティ研修を実施しても、内容が退屈であれば、参加者は熱心に耳を傾けない。学びたくなる研修プログラムを作るための、4つのポイントを紹介する。
企業を攻撃から守るために、従業員のスキルを高めるセキュリティ研修は不可欠だ。ただしセキュリティ研修で従業員の心をつかまなければ、学びの効果が薄れる恐れがある。企業はどうすればいいのか。前編「セキュリティ研修を『めんどくさい義務』から『有意義な時間』に変えるには」に続き、中編となる本稿は「効果的なセキュリティ研修」のプログラムをどう作るべきかを考える。
従業員はセキュリティの脅威を把握しシステムを保護するために、「自分の役割」を理解していなければならない。無意識のうちに攻撃を招く行動を取ることを防ぐためだ。ハッカーが従業員のアカウントを侵害したり、システムをマルウェアに感染させたりする背景には多くの場合、「人間の脆弱(ぜいじゃく)性」がある。
非営利団体のNational Cyber Security Alliance(NCSA)によると、2020年に新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)が始まってから報告されたセキュリティインシデントの約80%がフィッシング攻撃だ。NCSAが2020年9月に実施した調査(18歳以上の米国在住者1000人が回答)によると、「悪意のあるメールやリンクを特定する自信がある」と答えた人は7割程度にとどまっていた。「自宅から社内システムに安全にアクセスする準備が十分にできている」と答えたのは、テレワークをしている回答者(347人)の半分以下(45%)だった。
NCSAのアンケート結果は、効果的なセキュリティ研修の重要性を示している。セキュリティの十分な知識を持たない従業員が1人いるだけでリスクが高まるからだ。
「効果のないセキュリティ研修」のプログラムを作ろうとする企業はない。基本的に、企業は従業員にセキュリティ研修を受けさせることで、安全に勤務するための備えをしてほしいと考えているからだ。しかしセキュリティ研修が本来の目的を果たさないケースは、決して少なくない。企業はどうすればいいのか。効果的なセキュリティ研修のこつを紹介する。
魅力的な内容を用意することが一番だ。セキュリティ研修の教材が退屈であれば、参加者は熱心に学ぼうとしない。ここで注意したいのは、ジョークを交え過ぎないという点だ。「従業員の立場になって話をする」ことを心掛け、必要な情報を分かりやすく伝えるようにしよう。
セキュリティ研修では、脅威の話を従業員の実際の業務に関連付け、説明に具体性を持たせる必要がある。もう一つ大切なのは、メッセージをできる限り短く伝えることだ。講師がずっと話し続けるよりも、話を5~7分の複数のセッションに区切った方が、参加者は集中力を保ちやすい。
企業は主に2つの理由から、セキュリティ研修の教材を定期的に更新する必要がある。毎回同じ教材を使っていると参加者は興味を失うことと、脅威が常に変わっていることがそれだ。セキュリティ研修はセキュリティの最新の動向を捉え、一昔前ではなく「今」の情報を提供しなければならない。
人によって学び方は異なる。そのため、企業がセキュリティの情報を伝える形が多様であればあるほど、メッセージはより多くの従業員に届く。メールによるニュースレター、ミーティングでのレクチャー、ランチをしながらの軽い情報共有――。どのような組み合わせであれば自社の従業員に最も情報が伝わりやすいのかを、企業はいろいろ試しながら模索するとよい。
セキュリティ研修が終わった後、その効果を測定することが重要だ。効果測定のありがちな手段としてテストがあるが、問題が簡単過ぎたり、難し過ぎたりすることがある。テストは必ずしも従業員の「理解度」を正確に把握できるとは限らない。テストの代わりに、フィッシング攻撃のシミュレーションといった手法を用いることで、従業員の実際のセキュリティスキルを評価することが効果的だ。
後編は、セキュリティ研修で取り上げるべき4つのトピックを紹介する。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
ネットワークとセキュリティの機能を一体化したフレームワーク「SASE」が注目されている。一方で、SASEはさまざまな機能で構成されるため、高評価のツールを組み合わせることが多いが、これが後悔の種になることもあるという。
近年、SASE(Secure Access Service Edge)への注目度が高まっているが、その導入は決して容易ではない。そこで、ネットワークおよびセキュリティ、そしてSASEの導入・運用にまつわる課題を明らかにするため調査を実施した。
内部統制強化のため、企業には、システム化による評価プロセスや、システム運用の効率化などが求められている。その解決策の一例となる特権ID管理ツールについて、その機能や導入によって回避可能なセキュリティリスクを解説する。
クラウドセキュリティ運用の大きな課題になっているのが、増え続けるセキュリティアラートに優先度を設定することだ。各環境によって最重要課題は異なるため、環境に合わせて優先度を設定することが必要になる。その実現方法とは?
サイバーセキュリティではまず、攻撃サーフェスへの対策が重要だが、近年はリモートワークやクラウドの普及により、攻撃サーフェスも拡大している。しかも、サプライチェーン攻撃の増加により、中小企業でも対策は待ったなしの状況だ。
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)
「Box」に移行してもなくならない「お守り仕事」を根本から効率化するには? (2025/1/23)
これからのセキュリティ対策に必要な「防御側の優位性」、AIはどう実現する? (2025/1/22)
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。