せっかくセキュリティポリシーを作り上げても、それが全従業員に浸透していなければ、何の意味もありません。そのために必要なのが、従業員に対するセキュリティ教育と訓練です。
セキュリティ教育・別棟は上流から下流ヘ
セキュリティ教育・訓練は、最終的に情報セキュリティ担当者がアレンジすることになるでしょうが、実際の教育・訓練活動はトップダウン形式で行ぅのが最も効果的です。つまり、まず経営トップが自ら直属の部下(各部門のトップ)に対して教育・訓練を行い、その部下がさらに自分の部下に教育・訓練を施すというように、経営トップから順にラインにしたがって行うのです。
このように、経営トップが率先してセキュリティ対策を実施しているという姿勢を示すことで、仝従業員に対する教育・訓練を徹底します。このセキュリティ教育・訓練(企業倫理に関する事項も当然含まれます)とは、あらかじめ用意されたプログラムを淡々とこなすような、ごく一般的な社員教育ではありません。セキュリティ教育・訓練の目的は、一方的に正解を提示し盲目的な同意を得ることではなく、議論によって部下の思考を刺激し、セキュリティの何たるかに目を向けるきっかけを作ることです。その延長線上に、セキュリティポリシーがあることを巧みに意識させなければなりません。
セキュリティ対策は、その性格上、社内の論議を招くのは必然です。自分とはまったく関係のない部署の情報セキュリティ担当者から無理やり教育・訓練を受けたところで、「あいつは俺たちの部署の仕事の内容をまったく理解していない。理想論だけじゃないか。こんなことをしていたら商売にならない!」といった批判を受けがちです。でも、その部署の仕事の内容を知りつくした上司から、「セキュリティ村策は自分たちの部署にはこれだけ必要なのだよ」と自分の言葉で諭されたら、どんな部下でも「そうかもしれないなあ」と思うでしょう。
ですから、経営トップからの教育・訓練の内容は、必然的に部下によって自分の言葉でローカライズされ、さらにその部下に伝わることになります。このように、滝のごとく上から下へとセキュリティの教育・訓練をしていくことは、非常に有効なのです。また、各管理職に対しては、セキュリティ対策を全力で取り組んでいるかどうかについても、客観的に評価を行うことが重要です。
教育・訓練プログラムの例
では、セキュリティの教育・訓練は、どういったプログラムで行われるのが効果的なのでしょうか。企業によってプログラムの内容は異なりますので、絶対というものは存在しません。
このプログラムでは、企業の従業員が日常遭遇しやすい具体的な事例を提示し(ビデオを見せるのも効果的です)、自分だったらどのような行動をとるかにっいて議論することが中心となります。活発な議論を誘発するような、比較的簡単でわかりやすい事例を提示するのがポイントです。主人公の立場、そして彼(彼女)を取り囲む上司や同僚など、ほかの登場人物の立場の双方から、問題を検証する機会を持つことが重要です。教育のないセキュリティ対策はありえません。このことを十分に認識する必要があります。
コメント