連載
» 2021年07月16日 05時00分 公開

セキュリティ意識向上トレーニングプログラムへのサポートを取り付ける3つの方法Gartner Insights Pickup(216)

優れたセキュリティ意識向上トレーニングプログラムは、サイバーセキュリティリスクを軽減する経済的な方法だ。だが、このプログラムを成功させるには、経営陣のサポートが必要になる。

[Susan Moore, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

主なポイント

  • セキュリティ意識向上トレーニングプログラムは、効果的に行うためのリソースが不足している場合が多い
  • セキュリティ意識向上トレーニングプログラムへの経営陣のサポートを取り付けるには、3つの方法を実行する

  ・セキュリティ要件とビジネス目標を関連付ける
  ・プログラムが特定のビジネス目標に貢献することを示す
  ・文脈に即した測定可能なデータによって、ユースケースを実証する

 オーストラリアのある名門大学の幹部職員が、一見無害な電子メールを受け取った。この職員は何もクリックしたり、ダウンロードしたりしなかった。ただ、職員は添付ファイルをプレビューした。それは送信者が意図したことでもあった。それだけでハッカーがパスワードを盗み、ネットワークにアクセスし、データを抜き取るのに十分だった。抜き取られたデータ量は明らかにされていない。

 セキュリティ意識向上トレーニングはこの種の攻撃を未然に察知し、防ぐ方法を従業員に教育する重要な役割を果たす。「あればそれに越したことはない」という位置付けになりがちだが、優れたプログラムは情報セキュリティリスクを軽減する経済的な方法だ。

 だが、ほとんどのセキュリティ意識向上プログラムは、全社のエンゲージメントを獲得するために必要な人的および資金的リソースが不足している。また、経営陣の支援がなければ効果は望めない。

 「セキュリティ意識向上トレーニングプログラムに対する経営陣からのサポートがないと、セキュリティチームが重要なメッセージを組織全体に浸透させる能力に大きく影響してしまう」と、Gartnerのアナリストでシニアディレクターのリチャード・アディスコット(Richard Addiscott)氏は指摘する。

 CEO(最高経営責任者)がデータ保護ワークショップの開催を発表すれば、従業員は真剣に受け止めるだろう。だが、CEOのお墨付きがなければこうしたセッションの緊急性は低くなり、「無視しても構わない」「毎回形だけ参加してやり過ごせばよい」と思われてしまいかねない。

 以下では、セキュリティ意識向上トレーニングプログラムへの経営陣のサポートを取り付ける3つの方法を示す。

1.セキュリティ要件とビジネス目標を関連付ける

 セキュリティ意識向上プログラムを、戦略的なビジネス成果を達成しようとするあらゆる取り組みの不可欠な要素と位置付ける。さらに、このプログラムが、どのように他の戦略的プログラムを可能にするか、あるいは補完するかを実証する。

 自社の重点目標がサービスの高い可用性だとしよう。この目標の達成は、マルウェア攻撃によって悪影響を受ける恐れがある。マルウェアの侵入経路としてよく使われるのがUSBメモリデバイスだ。このデバイスの適切な扱い方を、関連するセキュリティ対策とともにスタッフに教育すれば、この攻撃シナリオを防ぐのに役立つ。

 セキュリティ意識向上トレーニングプログラム固有のこうした価値やメリット、時間節約効果を経営陣に響く言葉で、明確に説明することが重要だ。そうすることで、セキュリティやリスクマネジメントのリーダーは、ビジネスの実情に加え、このプログラムによって経営陣が何を得るかを理解していることを示せる。

2.具体例を提供する

 プログラムがビジネス目標の達成に貢献することを示す最も効果的な方法は、自社や競合他社、最近の事象、業界レポートなど、関連する具体例を用いることだ。

 反面教師となる事例も、聞き手にインパクトを与えるのに効果的な場合が多い。今では多くの業界でサイバー侵入が日常的に頻発しているため、ほとんどのリーダーは具体的な問題事例を引き合いに出し、「セキュリティを強化していればビジネス目標の達成にいかに貢献できたか」「セキュリティ意識を高めていたらどのようにトラブルを防げたか」などを簡単に解説できる。

3.測定可能なデータを使う

 文脈に沿った測定可能なデータを使って、セキュリティ意識向上トレーニングプログラムの必要性を実証する。定量的または定性的で妥当なデータポイントがあれば、聞き手に分かりやすい言葉で、プログラムの効果を明確に説明するのに役立つ。こうしたデータを使った説明では、セキュリティをサイバー脅威との戦いではなく、ビジネスリスクの管理として捉える。

 「経営陣に、セキュリティに注意を払う理由を提供する必要がある。ステークホルダーに、効果的なセキュリティが誰にとっても――つまり自社、その経営陣、顧客、株主、さらには外部のステークホルダーにとっても望ましいことを理解してもらうきっかけを見つけることが重要だ」(アディスコット氏)

出典:3 Ways to Gain Support for Your Security Awareness Training Program(Smarter with Gartner)

筆者 Susan Moore

Director, Public Relations


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。