セキュリティ研修実施で考慮すべきポイント:Column
セキュリティ研修を社内でやるか外部に委託するか決めるには、まずビジネスニーズを考慮し、研修の目的と対象者を決めることだ。
会社でセキュリティ啓発研修を実施すると決めたら、次に決めなければならないのは、それを社内でやるか、専門の研修会社に委託するかだ。
この決定に当たっては、まず自社のビジネスニーズと必要な研修の規模や種類、そしてどんな場合でもあてはまるが、自社で用意できるリソースとその費用を考慮しなければならない。
人材と目的
まず研修の目的と対象者を決定する。サーベンス・オクスリー法(SOX法)などのコンプライアンス基準を満たすためなのか、それとも最近相次ぐセキュリティ問題を受け、引き締めが必要だと感じているからなのか。従業員の望ましくない行為や、情報セキュリティの不健全を正すためなのか。あるいは情報流出によるイメージ低下を予防・回避するための取り組みなのか。
対象者も考慮が必要だ。経営陣か中間管理職か、それよりも下層の従業員か。研修の種類と、社内で行うか外部に委託すべきかはそれによって決まる。対象とする相手によってニーズは異なる。経営幹部なら、情報セキュリティに投資すべき理由とそれが業績に与える影響、会社の特色としてそれをどう売り込めるかを知りたいと思うだろう。管理職の場合、中間管理職であろうとなかろうと全レベルで同じ不安を抱えているが、それに加えてセキュリティの投資対効果により重点を置いた研修が必要になり、一般従業員に近い立場から情報セキュリティ上の安全な振る舞いについても幾つかポイントを押さえておきたい。
一方、一般従業員は極めて多種多様で、ニーズや興味もそれだけ幅広いものになる。非IT系従業員の大半には、情報の安全な取り扱いに関する基本的な研修が必要だ。社外秘の重要な顧客情報の保持、そうした情報を含んだ文書の適切な廃棄方法、パスワードやノートPCといった自分たちの個人情報と機器を守るといったことだ。
秘書やサポートスタッフには、ソーシャルエンジニアリングについて教えておかなければならない。組織内部に侵入して企業秘密や顧客情報を盗もうとする相手にとって最初の標的となるからだ。技術系社員の場合、安全なコードの書き方やネットワーク設定に関する実践的な研修など、もっと根本的な内容が求められるだろう。
PowerPointは役に立つか
次に考慮すべき要因は対象者の規模だ。全社員が対象となり(コンプライアンス上義務付けられているという理由もあり得る)、何千人もの従業員の研修が必要な場合、アウトソーシングの方が簡単かもしれない。大企業では外部の研修企業との折衝を担当する社内研修部門があるところも多い。ベンダーの教材のライセンスと著作権に関する取り決め次第では、自社の社員が講師となってその資料を使うことができる場合もあり、外部講師の出張と宿泊に掛かる経費を削減できる。
コンプライアンスに加え、全従業員を対象とした勤務評定の一環として、毎年セキュリティ啓発研修を義務付けている会社もある。大企業全体を網羅するもう1つの手段はWebベースの研修だ。これは手ごろな料金でアウトソーシングが可能だ。生身の講師は不要で、手ごろな研修パッケージが利用できることも多い。しかも研修担当者が自分たちで教材を作成する手間も省ける。
一方、セキュリティ部門の陣容が充実した大企業で、対象者が小人数あるいは特定層に的を絞る場合であれば、コストを掛けずに既存の資料で社内研修を行うことが可能だ。非技術系の一般社員向けに、悪徳ソーシャルエンジニアリングや顧客情報の安全な扱い方、パスワードのベストプラクティス、スパイウェアを避ける方法、会社の情報セキュリティポリシーについて、PowerPointでプレゼン資料を作成してもいい。
社内でやるか外部委託するかの大雑把な分かれ目として、1日当たりの講座時間と、1クラス25人で従業員200人を対象にする場合を試算してみるといい。社内に講師が3人いれば、おそらく約1週間で全員をカバーできるだろう。対象者がそれ以上多くなるようであれば社外に委託することだ。特に技術的な内容よりもビジネスに重点を置いた研修の場合はなおさらだ。
外部委託のポイント
セキュリティ啓発研修を外部委託する場合の選択肢と、注意すべき点を以下に挙げる。
技術系の社員に対象を絞った安全なコーディングやセキュアなネットワーク設定に関する講座の場合、シマンテック、マイクロソフト、シシコステムズといった企業が1〜2日の日程で各社のニーズに合ったプレゼンをしてくれることもある。こうしたサービスについて宣伝はしていないが、適切な条件を提示して頼めば、何らかの対応はしてくれる。
プレゼンテーション自体に掛かる経費のほかに、ライセンス料などの隠れた費用も注意を要する。パッケージを1度購入したらそれを再利用して自社の社員が教えてもいいのかどうかは要チェックだ。その教材を使ったクラスは先方の講師(出張費用はあなたの会社持ちとなる)が受け持たなければいけないと要求される場合もある。こうした講座の料金はまちまちだ。もともとあったパッケージや市販の製品・サービスを使う場合とは違い、自社のニーズに合わせた場合はなおさらだ。
原則として、対象者が多く広範な内容の研修が必要なら外部委託が賢明だが、人数が少なく専門的な内容になる場合、使えるリソースがあれば研修は社内で行った方がいい。
本稿筆者のジョエル・デュビン氏はCISSP(公認情報システムセキュリティ専門家)資格を持つ独立系コンピュータセキュリティコンサルタント。セキュリティ分野のマイクロソフトMVPに選ばれ、Web/アプリケーションセキュリティを専門とする。著書の「The Little Black Book of Computer Security」はアマゾンで購入できる。
Copyright © ITmedia, Inc. All Rights Reserved.