<CISSP試験でも重要!~啓発、トレーニング、教育について~>
セキュリティの現場でも、呪文のように「人の教育は大切だ!」「人が最大の脆弱性だ」と言われることがあります。この点を否定する気はありませんが、もう少し深堀して考える必要があるとも思います。"(-""-)"
上述の教育にまつわる用語や言葉ですが、CISSP的には【啓発、トレーニング、教育】はそれぞれ異なった定義がなされています。
今回はCISSP試験で重要な3つの用語を紹介しますが、この3つの用語は実際のセキュリティの現場でも有益だと思います。何故なら、現実の世界では「とりあえずセキュリティ教育やってます」的な取り組みが多く、その目的と行っている取り組みの内容が全く関連のないものになっているケースをよく目の当たりにするからです( ノД`)シクシク…
実例として、
「端末や書類の紛失を無くすor減らす」ということを目的としているケースで、
取り組みとして「Eラーニング形式のセキュリティ教育/テストを年2回実施している」みたいなケースでは、そもそも「端末や書類の紛失を無くすor減らす」という目的達成にはほぼ効果がありません。
何故か?それは今回ご紹介する3つの用語を理解頂くと、お分かりいただけるはずで ^^) ~~~~
では、見てきましょう!(ここではCISSP試験を意識し、それぞれの用語をイメージ頂けることを最重要視しております)
・啓蒙
→目的:会社の資産を扱う際の、自分の責任を従業員へ理解してもらうためもの
・トレーニング
→目的:特定のタスクや職務を遂行する能力を従業員へ提供するためもの
・教育
→目的:タスクや職務を遂行する際に適切な意思決定をする能力を従業員へ提供するためのもの
これだけでは、難しいですよね。(特にトレーニングと教育は曖昧だな~と)
ただ、大事なのはそれぞれの用語と目的のつながりをなんとなくイメージできるようになることです。
その上で、更なるヒントとして以下の表もご参考にしてください(^^♪
「端末や書類の紛失を無くすor減らす」という目的の場合、
「Eラーニング形式のセキュリティ教育/テストを年2回実施している」という取り組みだけでは、以下のような問題点がありそうですよね。
・認識/把握するための頻度が少なすぎること
・【トレーニング】に分類されるような取り組みも行わないと行動(癖やうっかりミス)を減らすことが難しいこと
(余談ですが、CISSP試験に向けた知識の中では、対象が一般従業員となるケースが多そうな「啓発」「トレーニング」はコンテンツのユーモアが重要な要素であるとされているので、実践する際も意識してもらうと良いかもしれませんね。)
はい!今回は以上です。最後までありがとうございました(^^)/