トピック概要
従業員は組織の攻撃面の一部であり、脅威から組織と組織を守るためのノウハウを身に付けることは、健全なセキュリティプログラムにとって重要な部分です。 FISMA、PCI、HIPAA、Sarbanes-Oxleyなど、政府や業界のさまざまな規制に準拠する必要がある場合、規制要件を満たすために従業員にセキュリティ意識向上トレーニングを提供する必要があります。
組織で利用可能な内部セキュリティリソースと専門知識に応じて、セキュリティ意識向上トレーニングを実施するためにサードパーティへの依頼が合理的な場合があります。外部の支援が活用されるかどうかに関係なく、組織のリーダーは、セキュリティ意識向上トレーニングのプログラム構築に何が必要かを理解し、関与し、プロセス全体を通してフィードバックを提供する必要があります。
組織には、それぞれの文化に最適なトレーニングのスタイルがあります。以下のようないくつかの選択肢があります。
場合によっては、上記をいくつか組み合わせることが最適な選択肢となる場合があります。セキュリティ意識向上トレーニングは、1回限りの演習ではありません。特に組織の離職率が高い場合は、複数のメディアを介した定期的なセキュリティトレーニングが理想的です。
対象とする科目を決定する際には、組織固有の脅威プロファイルも考慮する必要があります。トピックには次のようなものが挙げられるでしょう。
トレーニングの効果を測定するプロセスを整備しておくことは非常に重要です。1つの方法としては、設問を設けることが挙げられます。トレーニング前の水準を測定するために、まず展開前に設問を実施しておく必要があります。また、トレーニング後にどの部分に対して変化があったのかも確認する必要があります。フィッシングの演習が定期的に行われる場合は、従業員の対応がセキュリティ意識向上トレーニングを受けた後に改善した(または悪化した)かどうかを追跡する必要があります。
科学的なアプローチではないかもしれませんが、時間とともに従業員が増え資産が追加されるにつれて、セキュリティインシデントの発生件数とその種類について、どのような傾向があったかを調ておくことで、トレーニングの影響をある程度判断することができます。また、行動の変化を判断するために、トレーニングの前後に、公開されたパスワード、ロック解除されたコンピューター、潜在的な物理的セキュリティリスクを調べるために、オフィスを巡回して実際に確認するのも良いかも知れません。
セキュリティはセキュリティチームにとっては最優先事項かもしれませんが、他のチームにはそれぞれ別のゴールがあります。従って、時間を有効に使うために最善を尽くす必要があります。理想的には、トレーニングの内容を、すべての参加者の仕事に関連させられるように、従業員の役割に基づいてトレーニングをカスタマイズする必要があります。これにより、従業員は重要なことに集中し、できるだけ早く仕事に戻ることができます。また、ドメイン管理者などの組織のリスクの高いユーザーが、自分の仕事に関連するリスクと脅威に対処するために最適なトレーニングを受けることが可能になります。
従業員と共にポリシーとベストプラクティスを確認する際は、それぞれのポリシーが何故重要なのか常に説明する必要があります。ポリシーのコンテキストを完全に理解し、それが正しいことだと考えるようになってこそ、ユーザーは、高い確率でポリシーを遵守するようになるものです。たとえば、インターネットからランダムなソフトウェアをインストールするリスクは、巧妙に偽装されたランサムウェアがワークステーション上のすべてのファイルを瞬時に暗号化できることを知っていれば、はるかに理解しやすいでしょう。最後になりますが、従業員を名指しで怒鳴ったり、トレーニングについていけない従業員から傲慢な態度をしているように見られたりしないように心掛けるべきです。むしろ、チームリーダーは、誰もが気持ちよく質問をしたり、インシデントを報告したりできる環境作りに集中する必要があります。
トレーニング終了時に、ユーザーは、組織をリスクから守る方法をよく理解し、他のチームと協力して、積極的に、より安全な環境を構築していく気持ちになっている必要があります。トレーニングを成功させるには、組織固有のニーズと文化を理解することが重要なのです。