｢SNSに社員証アップ｣｢認証管理も自己流｣･･･新入社員の｢セキュリティミス｣を防ぐために実践すべき《7つの習慣》

このほか、「アップデート」や「初期設定の見直し」、「紛失・盗難対策」といった基本的な対策とあわせて、「おかしいと思ったら相談」するという行動も習慣化したい。不審なメールを受け取った社員が、「こんなことで相談したら恥ずかしい」と感じさせる組織では、相談せよという指示は絵に描いた餅となる。心理的安全性を担保し、相談のハードルを下げる仕組み作りを組織的に行いたい。

例えば、「ヒヤリハット」を共有する社内チャットを作るところから始めてはどうだろうか。AIの攻撃が精巧になればなるほど、「言語化できない違和感」や新たな知見を共有して相談し合う文化の価値は、高まるだろう。

以下の図は、こうした実践すべき7つの習慣と核となる原則をまとめたものだ。

習慣を教え、根付かせる組織へ

ここまで紹介してきた「習慣」は、筆者が監修を担当した『セキュリティ 7つの習慣・20の事例』から抜粋したものだ。これはセキュリティメーカーのMOTEXが2月に公開したサイバーセキュリティハンドブックで、このほか講師用のスライド資料も無償でダウンロードできるので、ぜひ参考にしていただきたい。

新年度、組織が意識すべきは、習慣を「教え」、「根付かせる」ことを目指して研修に取り組むことだ。

教え方については、研修で一回教えたら終わり、としないことが出発点になる。また、被害が発生した場合の実演も効果的だ。小さなインシデント事例の再現を経験してリアリティを獲得し、その対策がなぜ必要かを理解する。繰り返すうちに、判断と実践は習慣になって根付いていくはずだ。

こうした習慣が機能する組織となって初めて、新入社員に向けたセキュリティ研修も意味を持つ。来年の春までにどれだけ習慣を根付かせることができるか、そんな視点でセキュリティ教育を設計してほしい。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、岡田 良太郎さんの最新記事をメールでお知らせします。