教科書を読むだけで試験に合格できるとは誰も思わないですよね。だから、標的型攻撃メールに関する教育も・・・
高校入試や大学入試、また、各種の資格試験など、何らかの試験をパスしようと思った時に、教科書や教材だけを読んで試験に臨んだ。という方は、恐らくはごく少数でしょう。
ほとんどの方は、教科書を読む以外に、塾に通ったり、トレーニング問題にチャレンジしたり、書き写して覚えたりと、何らかのアクションを伴いながら、内容の理解・習得に励んだはずです。
それは何故か?と言えば、答えは簡単で、教科書を読んだだけでは覚えられないから。
しかし、セキュリティ教育というと、何故か座学だけになる不思議
ちなみにあなたの会社では、セキュリティ教育は実施されているでしょうか?実施されている場合、「教科書を読む行為」に相当する以外の事柄にあたるようなことも実施されているでしょうか?
セキュリティ教育の目的は、従業員一人一人がセキュリティの重要性について理解し、日々の業務の中で実践できることにあるはずです。
理解するだけでなく、実際に日常の習慣として実践できることが大切であることは言うまでも無いことですが、「e-ラーニング教材で学習する機会を提供しているだけ」とか、各個人に教本を配って「読んどいてね」とだけ言ってオシマイとか、そういったケースは案外、多いのじゃないかと思います。
もっとも、セキュリティ教育自体やっていないというところも少なくないので、やっているだけマシ。と言えなくもないですが、学生の頃は、教科書を読むだけでは覚えられっこない。として、あれやこれや、覚えるため・身につけるための手立てを色々と考えて実践したはずなのに、教育機会を提供する側になると、何故か、教科書を読むだけに等しいことしかやらない。というのは、社会人になったら、そういったことをすっかり忘れてしまった。ということなのでしょうか・・・
Microsoft PowerPointのこんな落とし穴、知っていますか?
企画書や会議資料の作成に使われることの多いMicrosoft PowerPoint、このPowerPointには、PDFに出力する機能が備わっています。
PowerPointのデータのまま第三者に配布してしまうと、内容の編集ができてしまうため、配布用にPDFに変換する。ということをされている方は多いと思います。
資料内の一部に重要なデータが含まれていて、第三者にそれを見せたくないという場合、画像データで覆って隠してしまい、それをPDF化して配布すれば大丈夫。なんて思っていないでしょうか?
実際にやってみればわかりますが、PDF化されたデータを開くと、見かけ上は重要なデータが出力されていないように見えますが、マウスで全選択をしてコピーし、メモ帳などにペーストを行うと、隠したはずのデータも見事に出力されていることがわかります。
どうせやるなら、お土産を持たせてあげる研修を!
セキュリティ教育の一環として、資料はPDF化することでセキュリティが保てます。と教えるケースもあるようですが、座学で聞きかじっただけでは、PDF化すれば大丈夫とだけ覚えてしまい、こうした落とし穴があることに気づかないまま実践し、情報漏洩の事故を起こしてしまうといったことは大いに考えられます。
座学で聞きかじるだけでなく、実際に自分でやってみて、セキュリティ的に本当に大丈夫であるかどうかを確認する機会があれば、こうした落とし穴があることに気づき、経験値として、その気づきは普段の業務の中で活かされるようになるはずです。
目と耳から得た情報だけをもって、知った気になるのではなく、実際に体感し、気づきを得て、経験値として体に覚え込ませるプロセスを踏む。
飽きの来ないセキュリティ教育を実践するという点でも、座学による研修だけで終わりにするのではなく、座学にプラスして、何か一つでも、気づきが体感できる機会を提供するようにすること。これが大事なんじゃないかと思います。
標的型攻撃メールに関する教育も、その危険性について座学で伝えるだけでなく、実際に体験してもらって、何がどのように危険なのかをちゃんと知ってもらう。こうすることで、腑に落ちるように理解をしてもらう事ができるのではないでしょうか。
→次の記事へ( 増え続ける標的型メールによる被害と、セキュリティ担当者の思い込み )