4月1日のエイプリル・フール、世界中の職場で行われるいたずらや悪ふざけは、基本的には親愛の情に基づく行為であり、取り返しのつかない被害を及ぼすものではありません。一方、オンラインの世界で企業が直面している多種多様な脅威は、企業のネットワークやデータに対し、長期的に(できれば永続的に)ダメージを与えようとするものです。これらの脅威は、組織のセキュリティにおける最大の弱点、すなわち人間を利用して目的を達成しようとします。これらの脅威に対抗するには、エンドユーザの IT セキュリティ意識を高めることが重要です。そしてそのためには、充実したセキュリティ啓発プログラムを策定し、実施する必要があります。これは、一般に思われるほど難しいことではありません。以下、エイプリル・フールを記念して、効果的なセキュリティ啓発プログラムを策定するための5つのヒントを示します。
- セキュリティ啓発メッセージを定期的に発信する: セキュリティ啓発メッセージを、時々ではなく定期的に、そしてある程度の頻度で発信します。この啓発メッセージは、新鮮かつ受け手に合わせた内容で、そして理解しやすいものでなければなりません。そのための1つの方法は、ニュースレターやブログでメッセージを発信することです。少なくとも、四半期程度ごとに定期的に新しいコンテンツを用意し、企業ロゴを挿入したり自社にちなんだ内容にしたりするなどの工夫を施して、イントラネットのサイトに掲載するか、電子メールで社員に配信します。セキュリティ・ニュースレターやセキュリティ・ブログは、チェック・ポイント や ZoneAlarm、 SofaWare も提供・開設しています。
- 動画を利用して最新の情報を楽しく提供する: セキュリティ啓発のための画像や映像が明らかに古臭かったり、話している内容がフロッピー・ディスクのセキュリティについてであったりすると、ユーザは興味を失ってしまいます。ユーザは、タイムリーで面白い内容でなければ関心を持ってくれません。動画では、重要な分野の基本的な事柄について、ユーモアを交えながらストーリー仕立てで解説する必要があります。例えば、2人の登場人物が「どちらのセキュリティ対策がすぐれているか」をゲームのように競い合っているといった内容にします。そしてこれを、グループ・ミーティングで参加者に見せるか、あるいは各自のコンピュータに配信します。
- 成果をユーザに示す: 社員のトレーニングの成果を測定し、目指すべきレベルを設定します。また、その達成度を明らかにするために、社員全員のトレーニング状況を記録します。コンピュータによるインタラクティブなトレーニング・プログラムを採り入れると、啓発プログラムをさらに高いレベルに引き上げることができます。このトレーニング・プログラムでは、テストや演習、点数評価、達成度追跡を実施します。 チェック・ポイントのエデュケーション・サービス は、コンピュータを使用した非常に効果的なトレーニングを提供しています。
- セキュリティ管理者は自身のモチベーションを保つように努力する: セキュリティ管理者自身が啓発プログラムに積極的でなければ、社員やマネージャも付いてきてくれません。しかし、セキュリティ管理者というのは、周囲から十分なサポートを得られずに孤立してしまうことがしばしばあり、プログラムへの取り組みがおざなりになってしまう場合があります。そこで、他のセキュリティ管理者たちと直接コミュニケーションを図ることができれば、自身の作業に対するモチベーションも上がります。チェック・ポイントのコミュニティ や ZoneAlarm のユーザ・フォーラムは、セキュリティ・プログラムについて議論したり、もっとも効果的な対策を学んだりする場として利用できます。
- 小さなところからでもとにかく始める: 同じことの繰り返しでは、ユーザはあっという間に興味を失ってしまいます。トレーニングを実施する際のセオリーとして、ユーザの関心を長続きさせるためには、1つのレッスンをそれぞれ異なる方法で7回繰り返す必要がある、とよく言われます。しかし何事も、まずは1つのことから着手して、そこから徐々に積み重ねていくしかありません。そして1つの新しい取り組みでも、社員の心をつかむことは十分に可能です。