実録 社内向けに事業部門が考えるべきセキュリティトレーニングをやってみた【第3回】教育プロジェクトのレビュー
【連載第3回】トレンドマイクロの取り組みを例に、事業部門へのサイバーセキュリティトレーニングを企画、運営する際のヒントを紹介します。
連載スケジュール第1回 はじまりは本部長の危機意識
第2回 トレーニング環境を短期間で実装
第3回 教育プロジェクトのレビュー
【第3回】教育プロジェクトのレビュー
教育プロジェクトのゴールは、受講生に知識を習得できたという達成感とともに、実際の仕事の場において、実践できるようなスキルを身につけて貰い、行動変容を促すことにあります。
受講直後の現段階において、行動変容に繋がったのか測定することは困難です。
このため、受講生へのアンケートから、そのきっかけとなったのか判断したいと考えました。
受講生からのコメント
| Aさん セキュリティは技術論ではなく、あくまでもツールの一つであると実感。事業判断、経営方針とは何かについて全員の認識があっていなければ、適切なセキュリティ対策が行えないということを改めて感じました。 |
| Bさん 技術論の話が多いのではと想像して講義に望みました。実際には、技術論は一部。全体として事業のリスクを考えなければならないというコンセプトに共感できました。事業リスクを広範囲にわたって考えられている組織はごく僅かなのでは。サイバーセキュリティという範囲だけでなく、すべての組織にとって検討すべき項目が含まれていると思いました。この認識が広がっていって欲しいと思いました。 |
| Cさん 経営観点において検討すべきセキュリティは多岐にわたると感じました。Liveコースのワークショップでのケーススタディで一通り考えを出し切ったと思っていたが、講師から不足事項を多々指摘がありました。そこの気付きは今後、学ぶべき課題に対する気付きとなりました。 |
プロジェクトスポンサー(本部長)からのコメント
| 今回の研修のポイントは、ケースメソッドを基にした実践的スキルを身に着けることでした。一般的なセキュリティ研修は、どうしても教科書的な一般論や技術論に偏りがちです。そのような知識だけでは、お客様に真に寄り添ったセキュリティの啓発活動はできません。今回の研修を通じて、さらに一歩、お客様の視点でマーケティング活動ができるようになったと確信しています。 |
その背景において、事業部門は自身のもつ情報システム・デジタル資産の価値とそのリスクについて、最も正確に知り得る立場です。事業部門の目的であるビジネスを成功させるには、当事者意識をもって自らが「Security by Design(セキュリティ・バイ・デザイン)」を実践していく必要があります。
Security by Designを文化として醸成していくために、専門家のセキュリティトレーニングを利用しつつ、トレーニング全体のデザインや集合研修は自社で企画・運営する、「組織内完結型」と「外部委託」の組合せによるトレーニングの実施をお勧めします。
一連の教育プロジェクトでは、トレーナーからの知識伝達にOnDemandコース、受講生の理解度評価にExamを利用しました。これらは専門性の高い情報提供や、業界全体の動向を踏まえた共通理解の獲得が必要です。従って、専門家への「外部委託」をお勧めします。
対して、集合研修でのアウトプットと理解定着のためのLiveコースは講師も同じ組織内の従業員とした「組織内完結型」をお勧めします。Liveコースを内製化することで、事業部門のニーズを踏まえた実務に応用できる事案の設定・議論、社員同士の交流や薫陶、疑似体験を通じた自社に適した知識やスキルを身につけさせることが期待できます※。また、それらはビジネスにおける差別化の源泉になり得ます。自社に蓄積すべきノウハウの部分は内製化を図るべきです。
※ロミンガー社の創業者Michael M. LombardoとRobert W. Eichingerによる著書『The Career Architect Development Planner』によれば、成長に役立った出来事として、「10%が研修、20%が薫陶、70%が経験」であったとの結果が報告されています。
ただし、実施にかかるコストを削減するために、Liveコース実施にあたって必要となる「ケースメソッド集」については外部委託を受けるなどの部分的な最適化を図ることも有効です。
社員に対して新たな期待を教育することは、決して平坦な道のりではありません。しかし、本稿の教育プロジェクトでは、コアメンバーを担当した社員の成長、Liveコースを通じて業務における実践能力の成長、共通プロトコルの獲得などをその効果を実感するに至っています。
当社においても一連の教育プロジェクトは一部門における試験的な実施事例に過ぎません。
しかし、今回の実施効果を受け、すでに部門横断型の教育プロジェクトへと拡張する動きが進められています。
今後、当社では職務等級制度に基づき、一定の等級に達した社員に対してOnDemandコースの受講を必須とする取り組みを計画しています。また、その展開にあたっては、人事部門の協力を得ることが決定しています。リーダーシップ・マネジメント研修と同様の位置づけでセキュリティナレッジ研修を組み込んでいきます。
受講生が何か新しい気付きが得られるようにする。その気付きをもって、日々の業務における行動変容のきっかけを促す。そんなトレーニングコースを社内外へ提供することができるよう、今後もコース内容の改定を行っていく予定です。
トレンドマイクロ・サイバーセキュリティ・イノベーション研究所では、当社の専門性を活かし、セキュリティ人材の育成支援を実施しています。
当社の人材育成では、COSO(the Committee of Sponsoring Organization of the Treadway Commission)の内部統制を考えるフレームワーク「3線モデル」への対応を強く意識しています※。
第2線 セキュリティ専門人材に対応した高度な技術的知見を要求する「インシデントレスポンスコース」だけではなく、第1線 事業部門人材に対応した「セキュリティナレッジコース」にも対応していることが特徴です。
本稿にて紹介のOnDemandコースについても、外部向けサービスとして「受講者管理機能(LMS)」と共に提供しています。是非、セキュリティ人材の「内製化」における一助としてご活用ください。
※リスクマネジメントのファーストラインに現場のオペレーション、セカンドラインにリスクを統括するチーム、そしてサードラインには客観的立場でアドバイスをする専門家チームを配する体制。参考:大規模イベントのリスクマネジメント 【第1回】「統合型」でなければうまくいかない
こちらで連載は以上です。ありがとうございました。
以下本記事の連載情報になります。
【連載一覧】実録 社内向けに事業部門が考えるべきセキュリティトレーニングをやってみた
林 憲明
トレンドマイクロ株式会社
サイバーセキュリティ・イノベーション研究所
セキュリティナレッジ&エデュケーション・センター
セキュリティナレッジトレーニンググループ プリンシパルセキュリティアナリスト
2002年にトレンドマイクロ株式会社に入社。サイバー犯罪対策、特にオンライン詐欺を専門とした調査・研究活動等を担当。これまでに国内専門のウイルス解析機関や、フォワードルッキングスレットリサーチを歴任。2021年より新設された「サイバーセキュリティ・イノベーション研究所」へ参画、現職に至る。様々な対象に対するセキュリティ教育も担当。サイバーセキュリティに関して多くのIT関連出版物、オンラインメディアに寄稿。また、Anti-Phishing Working Group等の国際会議にてセキュリティ問題に関する研究発表も行っている。
・TM-SIRT(Trend Micro Security Incident Response Team)チーム技術統括責任者
・日本ネットワークセキュリティ協会(JNSA)教育部会メンバー
・高知工業高等専門学校 サイバーセキュリティ実務家教員(副業先生)
・フィッシング対策協議会 運営委員
・警察庁 「サイバーセキュリティ政策会議」 委員
・デジタル・フォレンジック研究会 DF 資格認定 WG メンバー
Security GO新着記事
国内でも活発化するDDoS攻撃の事例を解説~攻撃者の目的や対策は?~
(2024年12月20日)
AIガバナンスの動向は?各国のAI法規制を概観
(2024年12月20日)
サイバー攻撃でよく悪用される正規ツールとは?
(2024年12月19日)
