組織のセキュリティを強化するための具体的手段
2023年ごろからセキュリティ教育や人財育成の相談をよくいただく。推測ではあるが、ほかの組織で発生したランサムウェアなどの被害で浮き彫りになったセキュリティに関する課題(人財や組織、プロセスなど)を自分ごととして捉えようと考えた組織が、自組織のセキュリティレベル向上のために動き始めたのだろう。今回は、組織で有効活用できるツールなど、セキュリティレベルを向上させるための手段をいくつか紹介する。
従業員のセキュリティリテラシー向上
セキュリティレベルの向上は、「従業員のセキュリティリテラシー向上」と「セキュリティ専門部隊のスキル向上」の2軸で行っていくことが重要だ。まず前者について、その手段と具体例として無償で利用できる便利なツールを紹介したい。
有効な手段としては、参考書やe-ラーニングによる自己学習、講義による集合教育、標的型メール訓練に代表される訓練形式が考えられる。どれも効果の測定と繰り返しの実施が重要だ。
組織的に有効活用できる自己学習ツールとして紹介したいのが、特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)の「情報セキュリティ理解度チェック」だ。インターネットの利用法やパスワードに関する知識など、オフィスで必要な情報セキュリティ知識を診断するオンライン形式のチェックツールで、基本機能は無償で提供されている。出題レベルは、情報処理推進機構(IPA)のITパスポート試験と同等レベルと考えてよい。組織の管理者が従業員をユーザー登録し、オンラインで受講させることで、一人ひとりの結果が分かる(CSVファイルでダウンロードすることも可能)。また、結果の一つとして表示される分野別正解率レーダーチャート(図1)では、自組織の平均値、受講者全体の平均値、同業種の平均値、およびランキングが表示される。これらの結果を通して、自組織のレベルを客観的に把握することが可能だ。このツールは、3,000ユーザー未満であれば無償で利用できる。3,000ユーザー以上の場合や、問題の追加・カスタマイズなどを行いたい場合は、有料のプレミアム版で実施可能だ。ぜひ活用いただき、自組織全体のレベル、同業種内でのレベルを確認するとともに、部署ごとや出題分野ごとのレベルを確認してもらいたい。
セキュリティ専門部隊のスキル向上
セキュリティ専門部隊のスキル向上については、基礎知識や専門知識を学んだ上で訓練を行い身に付けていく必要がある。スキル向上に有効なソリューションは多くの企業から提供されているため、比較的充実している。私が所属している組織でも「サイバーレジリエンス教育サービス」を提供しており、どのようなメニューがあるか参考までに挙げておく(図2)。ちなみにサイバーレジリエンスとは、サイバー攻撃の被害が発生しても、被害拡大を防ぐための抵抗力や攻撃からの回復力などを高めることで、事業継続を可能にする取り組みと考えていただければよい。
教育は、基礎的な知識を学ぶコースと専門的な知識を学ぶコースで分けられており、それぞれ複数のトレーニングが設けられているため、目的やレベルに応じたトレーニングを選択することが可能だ。
自組織に合った教育の実施を
従業員のセキュリティリテラシーと、セキュリティ専門部隊のスキル向上のための手段と具体例を紹介した。これらは、それぞれの立場で必要な知識を身に付けるに当たり有効なため、ぜひ活用いただきたい。
その後、さらに従業員に自分ごととして知識を身に付けてもらうためには、自組織の情報セキュリティポリシーを活用し、業務にあった事例を用いると良いだろう。事例をベースにテキストを作成し、自組織のメンバーが主体的に運営者や講師として参加する方式に進化してもらいたい。そして、それを繰り返し行い、実施および改善状況を可視化して役員会議などで共有することで、役員自ら課題を認識し統率する組織に変わっていけるのではないだろうか。
※1 Computer Security Incident Response Team:セキュリティ問題に専門的に対応する組織。
<参考>
特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)「情報セキュリティ理解度チェック」
https://slb.jnsa.org/eslb/