セキュリティ研修で従業員の心をつかむために欠かせない4つのポイント:「響く」セキュリティ研修の作り方【中編】
せっかくセキュリティ研修を実施しても、内容が退屈であれば、参加者は熱心に耳を傾けない。学びたくなる研修プログラムを作るための、4つのポイントを紹介する。
企業を攻撃から守るために、従業員のスキルを高めるセキュリティ研修は不可欠だ。ただしセキュリティ研修で従業員の心をつかまなければ、学びの効果が薄れる恐れがある。企業はどうすればいいのか。前編「セキュリティ研修を『めんどくさい義務』から『有意義な時間』に変えるには」に続き、中編となる本稿は「効果的なセキュリティ研修」のプログラムをどう作るべきかを考える。
セキュリティ研修で従業員の関心を引くための工夫とは?
従業員はセキュリティの脅威を把握しシステムを保護するために、「自分の役割」を理解していなければならない。無意識のうちに攻撃を招く行動を取ることを防ぐためだ。ハッカーが従業員のアカウントを侵害したり、システムをマルウェアに感染させたりする背景には多くの場合、「人間の脆弱(ぜいじゃく)性」がある。
非営利団体のNational Cyber Security Alliance(NCSA)によると、2020年に新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)が始まってから報告されたセキュリティインシデントの約80%がフィッシング攻撃だ。NCSAが2020年9月に実施した調査(18歳以上の米国在住者1000人が回答)によると、「悪意のあるメールやリンクを特定する自信がある」と答えた人は7割程度にとどまっていた。「自宅から社内システムに安全にアクセスする準備が十分にできている」と答えたのは、テレワークをしている回答者(347人)の半分以下(45%)だった。
NCSAのアンケート結果は、効果的なセキュリティ研修の重要性を示している。セキュリティの十分な知識を持たない従業員が1人いるだけでリスクが高まるからだ。
セキュリティ研修のプログラムを作る際のヒント
「効果のないセキュリティ研修」のプログラムを作ろうとする企業はない。基本的に、企業は従業員にセキュリティ研修を受けさせることで、安全に勤務するための備えをしてほしいと考えているからだ。しかしセキュリティ研修が本来の目的を果たさないケースは、決して少なくない。企業はどうすればいいのか。効果的なセキュリティ研修のこつを紹介する。
従業員の関心を引く
魅力的な内容を用意することが一番だ。セキュリティ研修の教材が退屈であれば、参加者は熱心に学ぼうとしない。ここで注意したいのは、ジョークを交え過ぎないという点だ。「従業員の立場になって話をする」ことを心掛け、必要な情報を分かりやすく伝えるようにしよう。
セキュリティ研修では、脅威の話を従業員の実際の業務に関連付け、説明に具体性を持たせる必要がある。もう一つ大切なのは、メッセージをできる限り短く伝えることだ。講師がずっと話し続けるよりも、話を5〜7分の複数のセッションに区切った方が、参加者は集中力を保ちやすい。
最新の情報を伝える
企業は主に2つの理由から、セキュリティ研修の教材を定期的に更新する必要がある。毎回同じ教材を使っていると参加者は興味を失うことと、脅威が常に変わっていることがそれだ。セキュリティ研修はセキュリティの最新の動向を捉え、一昔前ではなく「今」の情報を提供しなければならない。
情報の伝え方にバラエティーを持たせる
人によって学び方は異なる。そのため、企業がセキュリティの情報を伝える形が多様であればあるほど、メッセージはより多くの従業員に届く。メールによるニュースレター、ミーティングでのレクチャー、ランチをしながらの軽い情報共有――。どのような組み合わせであれば自社の従業員に最も情報が伝わりやすいのかを、企業はいろいろ試しながら模索するとよい。
効果を測定する
セキュリティ研修が終わった後、その効果を測定することが重要だ。効果測定のありがちな手段としてテストがあるが、問題が簡単過ぎたり、難し過ぎたりすることがある。テストは必ずしも従業員の「理解度」を正確に把握できるとは限らない。テストの代わりに、フィッシング攻撃のシミュレーションといった手法を用いることで、従業員の実際のセキュリティスキルを評価することが効果的だ。
後編は、セキュリティ研修で取り上げるべき4つのトピックを紹介する。
TechTarget発 世界のインサイト&ベストプラクティス
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.