セキュリティ教育を組織学習のマネジメントという視点で捉え直す

セキュリティ教育というと、個々人のリテラシーを高めることに目が行きがちで、研修の内容もそうしたことにフォーカスされたものになりがちです。

しかし、組織におけるセキュリティ対策は、組織を守ることができてこそ、初めてその効力を発揮するもの。

社員全員に毎回、同じような内容のセキュリティ研修を行い、同じようなテストを実施して、テストの点が全員合格点だから今年もオッケー。そんな研修を疑いもなく続けているというようなことはないでしょうか？

セキュリティリテラシーが高いとは、知識があるということか？

リテラシーが高いとは？情報セキュリティに関するリテラシーが高いというと、セキュリティに関する知識が豊富で、セキュリティ対策について熟知している。そんなイメージを想起されるかと思うのですが、そもそも、「セキュリティリテラシーが高い」ということの必要性は何でしょうか？

というと、それはとりもなおさず、組織をセキュリティリスクから守るためであると思います。

だとすると、セキュリティリテラシーが高い人というのは、組織をセキュリティリスクから守れる人と同義であるべきでしょう。

では、知識が豊富というだけで、組織を守ることができるでしょうか？と問われたら、必ずしもそうではない。という答えになるかと思います。

このことからわかるとおり、セキュリティリテラシーを高めるというのは、セキュリティに関する知識を高めることと必ずしもイコールではないということが言えるかと思います。

ベクトルを持たないセキュリティ教育は迷走する

各個人が目指す方向がバラバラでは、迷走しているのと同じ事組織をセキュリティリスクから守るためにセキュリティ教育を行う。ということに、異論を挟む方は恐らくはいらっしゃらないでしょう。

とすると、セキュリティ教育が目指すべきところは、組織をセキュリティリスクから守れるようにすることであり、それを目指して内容や方法論を吟味することこそが、セキュリティ教育を考える上では必要なことだと言えます。

セキュリティ対策のトレンドを伝えることも、もちろん必要なことだとは思いますが、「組織をセキュリティリスクから守る」という視点に立った時に、個々人として何をするべきなのか？について、それは個々人の判断に任せるというのでは、その行動はバラバラなものになってしまいます。

例えば、セキュリティ対策なんてシステムでやるべきだ。という考えを持つような方なら、対策なんてシステム部門がやるべきだと考え、自分では何もしようとはしないかもしれません。

また、リスクを過大に捉えてしまうような方だと、誤送信を恐れるあまり、外部に送信するメールは、全て上長の確認を得ないと送信するべきではないと考え、業務効率を落としてでも、愚直に実行しようとするかもしれません。

どちらの考えも、現実の世界では適切とは言えない考えですが、教育としての方向性がなく、具体的な行動は個人の思想や考えに任せるというのでは、このような結果を招くことも、決してないとは言えないでしょう。

今行っているセキュリティ教育に、長期的な視点は取り入れられているか？

セキュリティ教育に長期的な視点を取り入れているか？セキュリティ教育というと、個人の知識レベルを高め、危険な行為をしないようにすることに主眼が置かれがちですが、組織は個々人の異動や退職などによって流動し、世代交代を繰り返していくものです。

教育には教える側と教わる側の２つが必ず存在します。組織が流動していくものである以上、教わる側もいずれは教える側に立つ日がやってきます。

そのような流れがあるにもかかわらず、セキュリティに関する教育といえば、個人の知識レベルを高めることばかり行われていたらどうなるでしょうか？

知識ばかりあっても、教えることを知らない人が教える側に回ったのでは、効果の期待できる教育が行えるとは思えません。そんなことが組織の中で延々と繰り返されていったら、組織はどうなるでしょうか？

また、影響が及ぶのはそればかりではありません。組織のセキュリティ対策を考えるのは、その組織に所属する人です。その人々も、流動する組織によって、時と共に顔ぶれが変わっていきます。次代のセキュリティ対策を担うのは、次代のメンバーです。その次代のメンバーが、適切なセキュリティリテラシーを身につけていなかったらどうなるでしょうか？

セキュリティ教育に、組織としての成長スパイラルを

成長のスパイラル曲線長期的な視点に立ってセキュリティ教育を考えた時に、今行っているセキュリティ教育は、10年後・20年後の組織を支えてくれる根幹となり得るものだと言えるか？この問いに対して、あなたが所属する組織では明快な答えを見いだせるでしょうか？

個人に知識を提供していくだけのセキュリティ教育は「点」の教育であり、それ以上に広がっていくことはありません。

セキュリティ対策について考えるのは、セキュリティ担当者になってからでいい。とする考え方もありますが、担当者になってから初めて勉強し出すというのでは、時間もかかり、次々にやってくる脅威に対し、後手後手とならざるを得ないでしょう。

アマチュアの裾野が広いスポーツ分野は、優秀なプロの選手が生まれやすいものです。それと同じで、組織の中で優秀なセキュリティ担当者を育てたいなら、その裾野となる、組織全体のレベルを高めれば、自ずと優秀な人材が生まれることに繋がります。

個人の知識レベルを高めるだけの「点」の教育から、成長スパイラルの曲線に乗るような教育の形へのシフト。

組織学習のマネジメントの一環として、既にこの流れに取り組んでいる組織もあるかと思いますが、どの組織においても、このような流れが当たり前となってくれば、日本のセキュリティレベルも相当に高くなるであろうことが期待できるのではないでしょうか。

←前の記事へ（すがわら文仁議員から学ぶ、継続することプラスアルファの大切さ）
→次の記事へ（標的型メール訓練をすると、ビジネスに必須の予見力が鍛えられる？）

サブコンテンツ

訓練実施コストの問題はキットがあれば解決できます！

標的型攻撃メールを実際に従業員に体験してもらう
「標的型メール訓練」は、組織全体のセキュリティ意識向上に
繋がります。標的型攻撃メール対応訓練実施キットは、
自前で実施するための方法・ツール・テンプレートによって、
外注に頼らず、自前で訓練を実施することを可能にします。

キット開発・販売元　縁マーケティング研究所

無料でキットをお試しいだける「キット評価版」をご提供しています

標的型攻撃メール対応訓練実施キットについて、自社でも使えるものなのかどうか、実際に使って確かめてみたい、また、キットが具体的にどのようなものなのか知りたい。というニーズにお応えするため、「キット評価版」を無料でご提供しています。

評価版を申し込んだからといって、しつこく売り込みをする。なんていうことはありません。是非、納得いくまでお使い頂き、ご不明な点などがあれば、どのような事でもお問い合わせ下さい。１社でも多くのお客様にキットを気に入って頂きたいからこそ、是非、納得いくまでキットをお試し下さい。

キットの評価版を入手したい方は、「キット評価版の詳細を見る」をクリックして、詳細ページにお進みください。

おかげさまで11年目　標的型メール訓練なら、標的型攻撃メール対応訓練実施キット! Since 2014

セキュリティ教育を組織学習のマネジメントという視点で捉え直す