<インシデントマネジメント④~普及啓発~>
第4回目は普及啓発という要素についてご紹介をしていきます。
この要素というのは実は非常に奥が深いです。そして現実の世界ではこれを適切に、効果的に実施していくことがどれほど難しいか・・・ご担当者されている方などがいれば実感されることと思います。( ;∀;)
まず普及啓発とは、教科書っぽく言えば「各組織の情報セキュリティーポリシーに沿った基準、手順について定期的に教育をしていく」といったイメージです。
そしてこの考えは情報処理試験でも非常に役立ちます。具体的には以下のような解答例が想定できます。
※テストを受けられる方へのご参考までにどうぞ!
「組織の要因に情報セキュリティーポリシーに沿ったセキュリティ教育を定期的に実施する」
「セキュリティ教育の実施状況についてテストを実施することで効果測定を実施し、測定内容をもとに教育内容、手段を見直す」
ちなみに、何もテスト対策としてだけ上記をご紹介しているわけではなく、現実の世界でも同様の考え方に基づいて普及啓発のプロセスを進めていくことは重要となります。
そしてここで皆様に必ず覚えて頂きたいのが、普及啓発の目的とは何か?です。
早速ですが以下にその答えをご紹介します。(笑)
普及啓発の目的(ゴール)=「要員に自身の責任を理解させ、遵守させること」
普通のことのように聞こえた方、その感覚が正解だど僕は思います。冒頭でも触れましたが、普及啓発というのはこの目的を正しく達成することが難しい・・・
だから皆さんが頭を悩ませるのだと考えています。このご時世、どこの組織でも年数回のセキュリティ教育としてEラーニングの受講や集合研修が実施されているかと思います。が、しかし、連日のようにパソコンの紛失、メール誤送信、重要文書の紛失のニュースが後を絶ちません。このようなニュースでは無知マスコミは「管理体制に不備はあったのか」「教育体制は問題なかったのか」と騒ぎますが、担当者からすれば「やれることはやっているよ。でも無くならないんだよ。」というのが本音かと思います。
このように、多くの人で構成される組織の中に必要なルールや考え方を普及啓発していくというこは非常に難しいですが、僕は1つのアプローチとして
「人事規定と連携させる」
という方法が良いのではないかと思うことがあります。考え方はシンプルです。
例えは超極端ですが、「セキュリティ教育を1つでも受講しなければボーナス無!」「セキュリティ教育を受講し、一定のテストで好成績なら手当支給!」という人事規定を作ってしまってはどうかというものです( 一一)
上記は少し極端ですが、実際に「あるプロジェクトで誰かがPCをなくしたら、プロジェクト要員総出で見つかるまで探す」という規定でプロジェクト運営をしているような組織もあったりします。もし皆様がその「無した人」になったらどうでしょうか。
「心の底からの反省と後悔、そして本気で二度と繰り返さない」
僕ならそう決意します・・・・
僕はこれが重要だと考えています。一例ではありますが下記のような考え方で普及啓発を進めてみるのはいかがでしょうか。
・必ず遵守させる必要があるもの⇒責任を重くし、遵守しない場合の恐怖心を与える
・必須ではないが、極めて理解して欲しいもの⇒理解することに対してインセンティブを与える
以上、今回はここまでです
