「このセキュリティ研修は無意味だ」と感じてしまう――何が足りない？：役に立たないセキュリティ研修から脱却【第1回】

企業が従業員向けに実施するセキュリティ研修は、ほとんどの場合、退屈で効果が出づらい。企業はどのような工夫を取り入れるべきなのか。

[Paul Lewis，TechTarget]

　ほとんどの企業はセキュリティ担当者向けにセキュリティ研修を実施しているが、研修の内容はしばしば退屈で、率直に言って効果が出にくい。セキュリティ研修の効果を最大化するために、企業はどのような手を打つべきなのか。

セキュリティ研修の効果が出ない理由

併せて読みたいお薦め記事

セキュリティ意識を高める方法

• ヒューマンファイアウォールとは？　従業員のセキュリティ意識が育つ思考法
• セキュリティ研修で従業員の心をつかむために欠かせない4つのポイント

　大半の企業は、膨大な資料を用いた座学のセキュリティ研修を実施するが、知識を詰め込むだけでは不十分だ。一般的に、自らの経験を通して物事を学んだ方が、座学で学んだ場合よりも学習効果は出やすい。書籍や資料から得た知識は、実際の業務ではほぼ役に立たないと言っても過言ではない。

　攻撃者に先んじて対策するには、自ら攻撃者の視点に立ち、攻撃の動機や用いる手口を考えることが重要だ。そのためには、マニュアル通りに行動するのではなく、自らの頭で考えて行動するという経験を積む必要がある。

　効果的なトレーニングの一つが、仮想環境を用いた実践型の演習だ。セキュリティ担当者は、仮想環境内で発生する攻撃シナリオに対処したり、攻撃を組み立てたりして実践経験を積むことができる。攻撃は仮想環境内で繰り広げられるため、自社を危険にさらすリスクはない。

　重要なのは、セキュリティ担当者がリスクを恐れずに自身のスキルを試したり、失敗から学んだりできることだ。サイバー脅威に対処するには、こうした経験が非常に重要だ。

---

　第2回は、実践的なトレーニングを研修に取り入れる組織の事例を紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。