新入社員がセキュリティの過ちを犯さないための教育のツボとは？：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

「無知は罪悪」

　情報に対するアンテナは常に高くしておく。メディアやニュース、人脈、企業情報など、常に風呂敷は大きく広げ、その懐も深くしておくこと。AKB 48のニュースがもしかしたら情報セキュリティに関係することも無いとは限らない。

　実際に、深夜のアニメ番組と地方自治体がタイアップして成功した事例もある。「チームでそのビジネスモデルについて情報セキュリティを交えた考察を発表しなさい」というテーマで昨年、新人研修を行い、好評を博した。

なるべくオリジナル情報で勝負する

　半日や1日におよぶ講義でも重要事項の伝達は、１時間もあれば済んでしまうだろう。あとは、いかに内容を肉付けして新人の付加価値を高められるかがカギになる。結局は個人レベルでの人格や素養、努力がモノを言う。最低でも「絶対にしてはいけないこと」「味方を多く作り、敵を作らない行動パターン」を新人が確実に習得できるようにしたい。

　10年前に比べて、今の若者は「独自で考え、判断し、実行する」という人がかなり多い。ただし、　　どういう訳か上司への報告、チーム内への相談ということでは苦手としている。この辺をうまくコントロールできれば、セミナーの成果にもつながってくるかもしれない。

　余談だが、米国人の友人に「報・連・相」の考え方を説明したところ、「クレイジー！！」と返されてしまった。こうした欧米流と日本流の考え方の違いも、情報セキュリティを進めていく上でのポイントになるかもしれない。

部分的にでもインタラクティブにする

　講演形式が一方通行であっても、その一部に双方向での実習やグループミーティングを取り入れておくことが望ましい。新人はじっと聞くことに慣れていないことが多い。講義を受けることは我慢比べではない。むしろ動いたり、他人とディスカッションしたり、講師と同じように人前で話したりすることで理解が深まり、眠気防止にもなる。

講師の“自己中”は最悪

　常に受講者が主体であることを肝に命じてほしい。筆者はセミナーの冒頭で「みなさんが寝てしまったら私の負け。帰り際に目が輝いていたら私の勝ちです」と述べている。

　ベテラン社会人の読者なら、昔の学校での授業風景を思い出してほしい。一人ごとをつぶやく老いた教師がいて、そこに生徒はいないシーンである。社内の講師でも同じだ。講師を任命した上司は必ず部下の講演内容をチェックする。一人ごとをつぶやきそうなら部下なら、速やかに別の人に替えるべきだ。

こういう外部講師はダメ

　筆者も外部講師をしているので言いにくいが、「依頼した企業の固有の状況を把握していない講師」である。一般論と現実ではかなり“常識”が異なる。業界によっては、世間とはかなり慣例が異なるからだ。

　これまで社内講師に任せていた企業が急に外部講師に切り替える理由の1つに、内部不正の発覚がある。しかし、一部の外部講師は教科書的な講演しかせず、何の配慮もしない。「内部犯罪が起こる企業は、経営者が良くない企業です！」なんてことを平気で言ってしまう。

　これでは外部講師を招いた企業側は慌てることになる。一般論としては外部講師の考えが正しいだろう。だが、企業は一般論では動かないものであり、さまざまなシガラミの中で動いている。そこに正論を振りかざしても、ほとんど意味がない。外部講師なら、委託してきた企業に関する機微情報を事前に調査しておくべきであり、慎重な対応が望まれる（むしろ、その方面がしっかりしている外部講師は信頼できるといえる）。

---

　ここまで記載したポイントは、講師の熱意や心があってこそ生きてくる。情報セキュリティの真髄とは、それを利用する精神にあるという基本をぜひ新人をはじめ受講者に伝授していただきたい。

　最後に、筆者がセミナーや研修で実践している“ワザ”をご紹介したい。

• 公衆電話で電話をかけるまでの行動をフローチャートとして作成する
• スイカの有効利用法（食べる、浮き袋にするなどなど）を2分間で幾つも思い浮かべてもらう（最低でも30個以上がボーダーライン）
• 廃棄予定のPCを一人１台割り当てて工具で分解し、部品の名称やその役割について解説する（今ではPCが苦手な若者も多く、その程度でも情報セキュリティの理解に役立つ）
• エンディングノート（人生の最後に備えて現在の資産状況や死後の希望を書き記すノートで「終活ノート」ともいう）を配布し、これとその企業における営業活動をどうつないでいくべきかについてグループディスカッションする

　最後の点は、「人の死をどう受け止めていくべきか」「現実社会でどういう問題になっているのか」「若者の方にすり寄る企業ではなぜ経済的にはいけないのか」――企業と老人と人生と自分の関係を情報セキュリティという基盤の上で見つめ直していくことで、社会貢献の意味や、経済的に豊かな高齢者と企業のビジネスの関係性といった点がみえてくる。情報セキュリティを受講者に“体感”してもらう方法は、工夫次第で幾らでもあるというわけだ。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。