「従業員の心得」「コンプライアンス」「ハラスメント防止」――忙しい業務に加わる“講習三昧”に苦情の声をあげる社員たちに、一体どうすればセキュリティ教育を真剣に受けてもらえるの? 悩みぬくCSIRTの教育担当に、ベテランがくれたアドバイスとは。
一般社会で重要性が認識されつつある一方で、その具体的な役割があまり知られていない組織内インシデント対応チーム「CSIRT(Computer Security Incident Response Team)」。その活動実態を、小説の形で紹介します。コンセプトは、「セキュリティ防衛はスーパーマンがいないとできない」という誤解を解き、「日本人が得意とする、チームワークで解決する」というもの。読み進めていくうちに、セキュリティの知識も身に付きます
数々の攻撃を乗り越え、自分たちの実力や課題が見えてきたひまわり海洋エネルギーのCSRIT。社員へのセキュリティ教育を任された育英啓子(いくえい けいこ)は、社員に向けた教育プログラムのアイデアに頭を悩ませていた。そんな育英は、インシデント対応の修羅場で対人スキルを磨いたベテラン社員、懐柔善成(やわらぎ よしなり)にアドバイスを仰ぐ。
社員向けのセキュリティ教育に悩んでいたCSIRTの教育担当、育英啓子(いくえい けいこ)は、「教育される側にも何かメリット――楽しいことやうれしいことがないと、モチベーションが維持できないな」と、ベテラン社員の懐柔善成(やわらぎ よしなり)に言われ、思わず尋ねた。
「メリットは分かりますけど、“楽しいこと”や“うれしいこと”って、例えばどんな……?」
懐柔が答える。
「俺は教育のテキストのことはよく分からないが、例えばゴシップネタとか、夕刊○○とか、〇〇スポーツとかは結構好きだ。教育も、教科書みたいに『あれを守りましょう』『これをしてはいけません』というカタいものではなく……
そうだな、先月起こったランサムウェアの事案などをゴシップ風の記事にするのはどうだろう。自分が解説委員になって、事件のあらましや原因、有識者に聞く『こうやれば防げた』といったポイントを、でっかいフォントを使って書いてみるんだ。『ひまわり海洋エネルギー、謎の組織から攻撃される!! 会社倒産の危機! ________か?』なんてな。どうだ、楽しいだろう」
――啓子は、駅に売っている夕刊紙の見出しを思い浮かべた。確かに楽しいし、解説員や有識者の発想も面白い。すぐに志路(しじ)や見極(みきわめ)の顔が思い浮かんだ。
「でも、あまりふざけたのはちょっと……」
「大丈夫だ。小堀さん、そういうの好きだし」
懐柔が「なんだったら小堀さんのところに一緒に行くか?」という顔をして続ける。
「やっぱり、自社で起きている事案をネタにするのが一番だな。俺がリスクを部門に説明するときも、いかに『人ごとではなく、自分の問題だ』ということを認識させるところから始まる」
――確かに、教科書通りの説明だと「しょせん人ごと」として読み飛ばしてしまうわね。それだと教育効果はないわ。
「それと、全社員が対象の教育だと難しいと思うが、個別部門への対面教育を行う場合、内容は相手に合わせて変えているか? 画一的な押し付けになっていないか?」
懐柔が問う。
啓子は少し慌てて答える。
「いや、みんな同じですけど……」
懐柔が言う。
「俺の経験で申し訳ないが、さっき、『相手が何を思ってその場に臨んでいるかを考える』と言ったろう。これは、相手のプロジェクトの状況や性格、現実的にどこまでだったらできそうなのかを全て考慮してのことだ。アイスブレークネタとして、天気や昨日のスポーツの話なども入れる。誰に対しても同じアプローチはないと言っていい」
啓子が驚いて言う。
「そこまで考えているのですか? でも、一人一人に違う教育をするのはさすがに無理です」
Copyright © ITmedia, Inc. All Rights Reserved.