「セキュリティチャンピオンプログラム」を成功させるための4カ条：Gartner Insights Pickup（54）

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

　大企業で働いている人は、「フィッシング対策：行動管理コース」といったコンピュータベースのセキュリティ啓発トレーニングを受講するよう言われたことがあるだろう。

　「こうした従来のセキュリティ啓発アプローチには問題がある。多様な従業員――特に、グローバル企業の従業員の文化や現地の多様なニーズに対応できる柔軟性がないことだ」と、Gartnerのリサーチディレクターを務めるジョアナ・ユイスマン氏は指摘する。

　セキュリティリーダーは、セキュリティ文化の重要性を伝えるのにいつも苦労している。従業員は、セキュリティの責任を1つの部署が負う事項と考えがちであり、そのため、セキュリティ環境全体に関する責任を全員で真に共有するのは難しい。

セキュリティチャンピオンの役割とは

　「セキュリティチャンピオン（推進リーダー）プログラム」の策定は、セキュリティリーダーがセキュリティに関するメッセージの伝達を低コスト、またはゼロコストでスピードアップする方法だ。このプログラムによって、一貫したセキュリティ情報を現地レベルで周知できるネットワークが形成される。

　セキュリティチャンピオンはビジネス、IT、開発、デリバリー部門のメンバーであり、セキュリティ問題に関する追加のトレーニングを受けている。セキュリティ問題の技術的な側面には関与しないが各部署の専門家として活動し、質問に答えたり、トレーニングを勧めたり、セキュリティ専門家と協力して踏み込んだ質問に対する答えを見いだしたり、問題のエスカレーションを行ったりできる。

　「適切なセキュリティチャンピオンプログラムは、セキュリティ文化の一体性を高め、裾野を広げる。企業全体でセキュリティへの取り組み体制を現地化することで、セキュリティ対策が社内に深く浸透する」（ユイスマン氏）

　Gartnerは、2021年までに35％の企業がセキュリティチャンピオンプログラムを実施するようになると予想している。2017年には、実施企業の割合は10％未満にとどまっていた。

チャンピオンプログラムを成功させるための4つのポイント

　ユイスマン氏は、情報セキュリティプログラムを統括するリスク管理のリーダーが、セキュリティチャンピオンプログラムを成功させるための重要な推奨事項として、以下の4つを挙げている。

1．経営陣の支持を取り付けるため、セキュリティチャンピオンプログラムとビジネス目標を明確に関連付ける

　「このプログラムは皆さんが行う最も重要な取り組みになる」というアピールをしないようにする。プログラムが、ビジネスの目標達成に向けた取り組みに不可欠であれば、すぐに話が通じる。

2．自社の業務や営業地域を網羅したチャンピオンのネットワークを構築する

　バランスの取れたプログラム体制の構築は、チャンピオンに適した人材がどのように幹部から推薦されるか、あるいは自発的に参加するかにかかっている。自らのコミュニティーにおける仕事のやり方に精通し、周囲から一目置かれ、変革を推進できる影響力を持つ従業員を見つけることが重要だ。

3．チャンピオンの役割を果たすことを成長の機会として提示し、チャンピオンとしての活動を能力開発プランに統合する

　チャンピオンとしての能力やチームへの貢献、コミュニティーへの影響を評価する方法が必要になる。チャンピオンへの関心の喚起やその活動を促進するために、表彰および報奨制度を設けるとよい。

4．チャンピオンが創意を発揮し、担当地域の従業員に合わせてコンテンツを自由にアレンジできるようにする

　全ての資料をツールキットとしてパッケージ化し、全社的な一貫性を確保する必要がある。その一方で、チャンピオンがコンテンツとその実践を現地に合わせてアレンジできるようにすることも必要だ。

出典：Build a Network of Champions to Increase Security Awareness（Smarter with Gartner）