標的型メールは見抜くことが難しい。は誤りです

第4話 戦略として訓練実施の実行委員会を立ち上げる

訓練の実施準備から実施までを、セキュリティ担当部門だけで行う会社もあるようですが、これでは、他の部門は「受け身」の姿勢になってしまいます。

組織のセキュリティ確保を、セキュリティ担当部門だけが担うのは荷が重すぎます。組織のセキュリティレベルを底上げするには、全従業員に当事者意識を持ってもらうことが欠かせません。このための良い機会は、訓練実施に際して、各部門からメンバーを集め、訓練実施の実行委員会を立ち上げることです。

訓練実施を、組織全体の意識改革のきっかけにする

あなたの組織では、セキュリティに関して従業員の関心が高く、訓練実施に際して委員会を立ち上げて声をかけたら、誰もが快く参加してくれるでしょうか?それとも、そういうことは君らに任せるからよろしく頼むよ。などと言われて避けられてしまうでしょうか?

訓練実施を他人事のように捉え、会社からの指示だから仕方なくやる。といったような雰囲気が漂っているようだと、折角訓練を実施しても十分な効果は得られません。

訓練実施の準備自体はそれほど手間のかかるものではないので、実行面から言えば、委員会など立ち上げなくても、セキュリティ担当者だけでも十分可能です。しかし、それではセキュリティ担当者が用意したイベントを従業員が受け身の姿勢でこなすだけとなってしまいます。

標的型攻撃に関する知識は身につくかもしれませんが、意識の向上はあまり望めません。訓練を実施しても意識が低い状態のままなので、下手をすると、組織としてのセキュリティレベルは訓練実施前とさほど変わらないといった結果になってしまうかもしれません。

訓練を受け身にさせないためには、準備作業に関わってもらうことです。作る側に回れば、自ずと当事者意識も芽生えてくるものです。セキュリティに関心を持ってもらい、当事者意識を持ってもらうには、組織のセキュリティレベルを向上させるための取り組みに参加してもらうことが何よりですが、これがいきなり、「セキュリティポリシーの策定」といった難しいテーマへの参加となってしまうと、却って拒否反応を強めてしまいます。

受け身の意識が強い人の意識を改革していくには、まずは簡単で協力を得られやすいことから参加してもらうようにするのが鉄則です。その点、模擬訓練実施に際して実施委員会を立ち上げるので、参加してもらって是非意見を聞かせてもらいたい。といった口実なら、比較的参加してもらいやすいと言えます。

このように小さなことから組織を挙げて取り組むという実績を積み上げていけば、組織全体の意識も徐々に変わってきます。組織全体の雰囲気をいきなり変えさせることはできないのであれば、こうしたイベントを上手く活用するというのは一つの方法です。

実行委員会のメンバーはどうするか?

一口に実行委員会と言っても、規模やメンバーはどうするか?といった問題があります。流石に従業員全員をメンバーにするわけにはいきませんから、誰を選ぶか?ということになるのですが、これは、組織が現状、どのような状況にあるかによって違ってきます。

初めて訓練を実施するというような組織であれば、社内のセキュリティ意識はバラバラで、下手をするとトップレベルからして意識が低いといったこともあるかもしれません。そのような場合、まずは職位の高い人からメンバーに参加してもらうべきでしょう。

トップレベルのセキュリティ意識が高まり、理解が深まれば、後々、色々なことがやりやすくなります。特に、こうした訓練を実施した際にクレームが出やすい営業部門のトップを抑えておけば、現場からのクレームも抑え込むことができます。キーパーソンが活用できるかどうかは大きなポイントです。

逆に、既に訓練を何度も実施していて、トップレベルでは意識は高いが、現場レベルではまだまだ・・・といったような状況であれば、現場の担当者で、キーパーソンと思われる人をメンバーに入れたり、また、数年後を見据えて、有望な若手メンバーを入れるのも手です。

目先の意識改革はとても大事ですが、組織は時間と共に世代交代をしていきます。次の世代の習慣は、今の習慣の延長です。次の世代にはこうなっていて欲しいと思うことがあるなら、今のうちから仕込みをするべきです。

以上の通り、訓練実施のための実行委員会立ち上げは、訓練実施の準備をすることが主目的ではありません。

「訓練実施の準備」という目的は表層的なもので、真の狙いは、各メンバー間の意識統一を図ったり、部門間の垣根を越え、組織を挙げてセキュリティに取り組む雰囲気を作るなどといったことにあります。こういった点でも、模擬訓練の実施は大いに活用するべきだと思います。

次のページへ

 

←前の記事へ(
→次の記事へ(
サブコンテンツ