本ブログは、英語版ブログ「https://www.proofpoint.com/us/security-awareness/post/what-security-awareness-training」の翻訳です。
セキュリティ意識向上トレーニングの認知度と採用実績は、過去10年間で大きく向上しました。そのため、いまさらブログでこの用語を解説する必要は無いとお考えかもしれません。しかし私たちは、セキュリティ意識向上トレーニングへの理解を基本的なレベルで留めて欲しくはないのです。是非、基本を超えて理解を深めてください。そのための第一歩は、教育プログラムの成否を左右する人々(つまりエンドユーザー)へのセキュリティ意識向上トレーニングを、どのように定義するかを考えることです。
基本的なレベルで満足しない
サイバーセキュリティの専門家の多くは、組織におけるセキュリティ意識向上トレーニングが持つ意味について、比較的狭い範囲で考えています。これは、特に情報セキュリティ業界において、非常に狭い定義が定着しているためです。TechTargetのWhatIs.comでは、以下の様に解説されています:
セキュリティ意識向上トレーニングは、コンピューターセキュリティについて従業員を教育するための正規のプロセスです。
優れたセキュリティ意識向上プログラムは、情報技術(IT)を使って働く際の企業ポリシーと手順について従業員を教育できなければなりません。従業員には、セキュリティ脅威を発見した場合にどこに連絡するかを伝え、データが貴重な企業資産であることを周知する必要があります。
「この定義のどこが問題なのだ?」と思うかも知れません。「十分広いじゃないか。」と感じるかも知れませんが、それはある意味では当たっています。「企業ポリシーと手順」は確かに広大なカメレオンのようなテーマですし、「データ」(およびその価値)というのも広い意味を持ちます。しかし、セキュリティ意識向上トレーニングを組織のルールとミッションの境界内で厳密に構成しようとすると、その範囲は狭くなってしまうのです。
ここでのポイントは、優れたセキュリティ意識向上トレーニングは企業の要件内で完結するものではないということです。それは奨励と権限委譲に始まり、何よりも個人的なつながりが重要です。仕事に関することだけではないのです。もちろん、データは重要です。優れたサイバーハイジーン(衛生環境)により、データとデバイスのセキュリティが向上します。そしてサイバーセキュリティのスキルは可搬性があり、良い行動は人々に利益をもたらします。
人中心の考え方を導入する
Proofpointでは、サイバーセキュリティに対する人中心のアプローチの必要性を訴えています。それは、サイバー犯罪者が明らかに人々(労働者と消費者の両方)を狙っているためです。ユーザーをセキュリティ戦略に組み込まないと、攻撃者が狙っている(そして侵害に成功しつつある)時点で自分自身を守る機会を逃してしまいます。
次の3つのRを念頭に置いて、セキュリティ意識向上トレーニングに人間中心のアプローチを導入してください:
- Recognition(認知):ユーザーは教育プログラムのステークホルダーであり、ユーザーの成功が組織の成功であることを確認します。従業員を単純に問題の一部として扱うのではなく、ユーザーはソリューションの効果的な一部分になり得るということを認識してください。
- Relevance(関連性):ユーザーを惹きつけるアプローチを選択します。従業員に脅威が存在することを知らせるだけでは、十分ではありません。ユーザーに、サイバーセキュリティのスキルの向上が個人レベルでどのように彼らに利益をもたらすか、職場や自宅で新しいスキルをどのように適用できるかを明確に理解してもらう必要があります。
- Reinforcement(強化):ユーザーがすぐにエキスパートになることを期待しないでください。学習には実践が必要で、時間をかけて行う必要があります。行動の変化を起こすためには、定期的な意識向上とトレーニングの活動を通じて重要なトピックを強化する必要があります。
Proofpointは、ユーザーと組織に利益をもたらす効果的で魅力的な教育プログラムの構築を支援致します。セキュリティ意識向上トレーニングを再定義するお手伝いをさせてください。