従業員の士気を下げずにセキュリティ意識を高める5つの方法
従業員のセキュリティ意識を向上するための第一歩は、従業員を尊重することです。
決められた手順への作業ミスや、知識不足といったことに起因して、しばしばセキュリティインシデントを引き起こすという意味において、セキュリティチェーンに於いて最も脆弱なリンクは従業員であると言われています。 そのため、社内のデータを安全に保つためには、従業員のサイバーセキュリティに対する意識を向上させることは重要なテーマです。
しかし、従業員がセキュリティにとって危険であるかのように扱うことは、企業のセキュリティ文化全体に悪影響を及ぼすことがあります。そのため、セキュリティ意識向上プログラムを実施する際には、まず第一に従業員自身を尊重する必要があります。
では、どのようにすれば従業員を疎外させることなく、サイバーセキュリティの意識を高めることができるのでしょうか? エフセキュア専門家から従業員の士気を下げずにセキュリティ意識を高める5つの方法ご紹介します。
1. 信頼の文化を醸成する
エフセキュアのセキュリティコンサルタントであるMarko Buuri (マルコ・ブーリ)は、従業員との信頼関係構築の重要性を強調しています。企業は、従業員にセキュリティ問題の重要性を認識させ、報告するよう教育することが求められます。しかし、これはオープンで親しみやすい雰囲気の中で行われるべきです。そうすれば従業員は会社の利益のために進んで取り組むでしょう。 「従業員を最も脆弱なリンクとみなした場合、信頼を築くのは難しくなります」とブーリは語ります。「罰せられたり嘲笑されたりする恐れを感じている場合には、URLをクリックしたり、添付ファイルを開いても報告してくれないかもしれません。セキュリティ担当者は、従業員が起こりうるセキュリティイベントを報告してほしいと思っています。そして、それは従業員自らの積極的な行動でなければなりません。」
2. セキュリティを退屈で強制的なものではなく、楽しく魅力的なものにする
企業のセキュリティ意識啓発を支援しているセキュリティマネジメントコンサルタントであるVille Niileksela (ヴィレ・ニイーレックスラ)氏は、最近、保険会社で実施した2日間のセキュリティ意識啓発イベントの際、マーケティング的なアプローチを活用しました。 「他のテーマの社内研修についての従業員のフィードバックでは、イベントがとても退屈で無味乾燥だと感じ, 出席することを嫌がっているようでした」と彼は述べています。「私たちは、興味深く魅力的なセキュリティ意識啓発イベントを実施できるよう取り組んでいます。参加者が強制的なトレーニングのように思って欲しくありません。」
Niileksela氏のイベントでは、参加者の関心を高めるため、屋外にコーヒーバリスタのチャンピオンの大きなガラス張りのテントを設置しました。彼のチームは、サイバーセキュリティのトピックについてて意味のあるものにするために、5分間のフラッシュプレゼンテーションを実施しました。 社員の半数以上がトレーニングに参加しまし、参加者や役員からのフィードバックは非常に好評でした。
3. セキュリティは全員が日々自覚すべきことを強調する
セキュリティはITに携わる人々だけが関係するものではありません。従業員一人ひとりが会社の安全を確保する上で重要な役割を果たしていることを全員に理解させてください。それは、職場、個人の日常生活の中のすべての活動において醸成させるべき意識であり、たとえ小さな作業や行動においても正しい判断をすることを意味しています。短時間であっても、ノートPCから離れる場合は、画面をロックしたり、身分証を持たない見知らぬ人をセキュリティ保護されたエリアに入れないといったことです。 結局、セキュリティを保つことは、私たちのちょっとした実践的な行動に帰着しています。
「机を乱雑にしたまま席を立ったり、会社の機密情報を公共の場で話し合ったりする行為は、いくらGDPRのすべての条項を知っていても意味がないのです。」とNiileksela氏は述べています。
4.「会社の機密情報とは何か」を従業員に再認識してもらう
従業員が、機密情報であることを知らされていない場合は、それを適切に取り扱っていないことを非難することができるでしょうか?すべての企業では、それぞれの異なった基準を持っているため、保護すべき情報も異なっています。従業員は、社外の人々と共有することができない機密情報を認識する必要があります。 また、機密情報の取り扱い方をを習得して、その方法に則して保護する必要があります。たとえば、お客様と事例を議論する際、事前にお客様の身元を確認し、機密文書のハードコピーは細断し、サービスにログインする際にはユニークなパスワードを使用することなどです。
機密情報の例としては、顧客情報、研究開発計画、製品開発プロジェクト、販売契約、企業財務情報、従業員情報、企業ネットワークアーキテクチャ図などがあります。
5. 通常業務の中にセキュリティトレーニングを組み込む
セキュリティは1年に1度のトレーニングではなく、従業員の関心を損なわない形式で定期的に反復教育すべきです。サイバーセキュリティを最優先に意識させる優れた事例として、フィッシング詐欺メールをシミュレートするプログラムの利用が考えれらます。従業員は模擬のフィッシング詐欺メールを不定期に受信し、それらをフィッシング詐欺と認識できるよう常に注意を払うことが求められます。 従業員がその模擬メールに引っかかり、リンクをクリックするか添付ファイルを開くと、トレーニングを受講することになります。このようなプログラムは、ゲーム的要素によりセキュリティを楽しいものにすることができます。また、従業員が受信ボックスに届いた電子メールについてむやみに信用することも防げます。
当社のデータ保護チェックリストを活用して、ポスター、ゲーム、クイズ、面白いニュースレター、ブログ、配布資料などで定期的に安全な働き方に対する自覚を促すことは、大変効果的な方法です。
カテゴリ