セキュリティの知識を「応用力」に変えるには何をすればいい？：役に立たないセキュリティ研修から脱却【第4回】

セキュリティ研修で知識を詰め込むだけでは、セキュリティの確保は難しい。インプットした知識を応用することが大切だ。企業はどのようなトレーニングを採用すべきなのか。

[Paul Lewis，TechTarget]

　ほとんどの企業はセキュリティ研修で、資料を用いたインプット型の座学を実施する。しかし知識を詰め込む研修だけでは、サイバー攻撃を防げるようにはならない。必要なのは、どうすれば知識を応用できるのかを検討することだ。

知識を「応用力」に変える方法

併せて読みたいお薦め記事

連載：役に立たないセキュリティ研修から脱却

• 第1回：「このセキュリティ研修は無意味だ」と感じてしまう――何が足りない？
• 第2回：攻撃者目線で考える「パープルチーム演習」がもたらす効果とは？
• 第3回：「DevSecOps」に必要な基礎スキルとは？　習得する方法は？

セキュリティ研修を無駄にしないために

• 毎年やっても意味がない？　「セキュリティ研修」を無駄にする“あの慣習”
• セキュリティ研修を「めんどくさい義務」から「有意義な時間」に変えるには

　理論的な知識を学ぶことはもちろん重要だ。しかし、技術的な資料を読破するだけでは、自社のセキュリティは確保できない。知識を詰め込むだけでなく、実践的なトレーニングを通して、知識の応用方法や問題に対処する方法を身に付けることが不可欠だ。

　例えば、仮想環境を用いた攻撃の模擬演習は効果的なトレーニングの一つだ。セキュリティ担当者は実践的な経験を通して、セキュリティ分野の最新情報を頭に入れられる他、ソフトスキル（共感力や謙虚さ、マインドフルネスなどの非定型スキル）を獲得でき、自信を高めることができる。それだけでなく、サイバー攻撃を自ら組み立てることで、攻撃者の心理を理解することにもつながる。この結果、警戒心の向上と、攻撃者に先んじたセキュリティ対策の実現につながる。

　特にセキュリティ業界では、上級者になるほど知識のインプットよりも応用が重要になる。攻撃者に先回りしたセキュリティ対策を実現するには、セキュリティ担当者全員が攻撃者のように考え、知恵を絞る必要がある。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。