標的型メールは見抜くことが難しい。は誤りです

セキュリティ教育を組織学習のマネジメントという視点で捉え直す

[セキュリティ対策に効くクスリ, セキュリティ教育]

セキュリティ教育というと、個々人のリテラシーを高めることに目が行きがちで、研修の内容もそうしたことにフォーカスされたものになりがちです。

しかし、組織におけるセキュリティ対策は、組織を守ることができてこそ、初めてその効力を発揮するもの。

社員全員に毎回、同じような内容のセキュリティ研修を行い、同じようなテストを実施して、テストの点が全員合格点だから今年もオッケー。そんな研修を疑いもなく続けているというようなことはないでしょうか?

セキュリティリテラシーが高いとは、知識があるということか?

リテラシーが高いとは?情報セキュリティに関するリテラシーが高いというと、セキュリティに関する知識が豊富で、セキュリティ対策について熟知している。そんなイメージを想起されるかと思うのですが、そもそも、「セキュリティリテラシーが高い」ということの必要性は何でしょうか?

というと、それはとりもなおさず、組織をセキュリティリスクから守るためであると思います。

だとすると、セキュリティリテラシーが高い人というのは、組織をセキュリティリスクから守れる人と同義であるべきでしょう。

では、知識が豊富というだけで、組織を守ることができるでしょうか?と問われたら、必ずしもそうではない。という答えになるかと思います。

このことからわかるとおり、セキュリティリテラシーを高めるというのは、セキュリティに関する知識を高めることと必ずしもイコールではないということが言えるかと思います。

ベクトルを持たないセキュリティ教育は迷走する

各個人が目指す方向がバラバラでは、迷走しているのと同じ事組織をセキュリティリスクから守るためにセキュリティ教育を行う。ということに、異論を挟む方は恐らくはいらっしゃらないでしょう。

とすると、セキュリティ教育が目指すべきところは、組織をセキュリティリスクから守れるようにすることであり、それを目指して内容や方法論を吟味することこそが、セキュリティ教育を考える上では必要なことだと言えます。

セキュリティ対策のトレンドを伝えることも、もちろん必要なことだとは思いますが、「組織をセキュリティリスクから守る」という視点に立った時に、個々人として何をするべきなのか?について、それは個々人の判断に任せるというのでは、その行動はバラバラなものになってしまいます。

例えば、セキュリティ対策なんてシステムでやるべきだ。という考えを持つような方なら、対策なんてシステム部門がやるべきだと考え、自分では何もしようとはしないかもしれません。

また、リスクを過大に捉えてしまうような方だと、誤送信を恐れるあまり、外部に送信するメールは、全て上長の確認を得ないと送信するべきではないと考え、業務効率を落としてでも、愚直に実行しようとするかもしれません。

どちらの考えも、現実の世界では適切とは言えない考えですが、教育としての方向性がなく、具体的な行動は個人の思想や考えに任せるというのでは、このような結果を招くことも、決してないとは言えないでしょう。

今行っているセキュリティ教育に、長期的な視点は取り入れられているか?

セキュリティ教育に長期的な視点を取り入れているか?セキュリティ教育というと、個人の知識レベルを高め、危険な行為をしないようにすることに主眼が置かれがちですが、組織は個々人の異動や退職などによって流動し、世代交代を繰り返していくものです。

教育には教える側と教わる側の2つが必ず存在します。組織が流動していくものである以上、教わる側もいずれは教える側に立つ日がやってきます。

そのような流れがあるにもかかわらず、セキュリティに関する教育といえば、個人の知識レベルを高めることばかり行われていたらどうなるでしょうか?

知識ばかりあっても、教えることを知らない人が教える側に回ったのでは、効果の期待できる教育が行えるとは思えません。そんなことが組織の中で延々と繰り返されていったら、組織はどうなるでしょうか?

また、影響が及ぶのはそればかりではありません。組織のセキュリティ対策を考えるのは、その組織に所属する人です。その人々も、流動する組織によって、時と共に顔ぶれが変わっていきます。次代のセキュリティ対策を担うのは、次代のメンバーです。その次代のメンバーが、適切なセキュリティリテラシーを身につけていなかったらどうなるでしょうか?

セキュリティ教育に、組織としての成長スパイラルを

成長のスパイラル曲線長期的な視点に立ってセキュリティ教育を考えた時に、今行っているセキュリティ教育は、10年後・20年後の組織を支えてくれる根幹となり得るものだと言えるか?この問いに対して、あなたが所属する組織では明快な答えを見いだせるでしょうか?

個人に知識を提供していくだけのセキュリティ教育は「点」の教育であり、それ以上に広がっていくことはありません。

セキュリティ対策について考えるのは、セキュリティ担当者になってからでいい。とする考え方もありますが、担当者になってから初めて勉強し出すというのでは、時間もかかり、次々にやってくる脅威に対し、後手後手とならざるを得ないでしょう。

アマチュアの裾野が広いスポーツ分野は、優秀なプロの選手が生まれやすいものです。それと同じで、組織の中で優秀なセキュリティ担当者を育てたいなら、その裾野となる、組織全体のレベルを高めれば、自ずと優秀な人材が生まれることに繋がります。

個人の知識レベルを高めるだけの「点」の教育から、成長スパイラルの曲線に乗るような教育の形へのシフト。

組織学習のマネジメントの一環として、既にこの流れに取り組んでいる組織もあるかと思いますが、どの組織においても、このような流れが当たり前となってくれば、日本のセキュリティレベルも相当に高くなるであろうことが期待できるのではないでしょうか。

←前の記事へ(
→次の記事へ(
サブコンテンツ

標的型メール訓練なら、標的型攻撃メール対応訓練実施キット!