日本の企業と個人の「セキュリティ力」を診断する (3)日本企業のセキュリティ力底上げのために
特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)は、コンピュータセキュリティのリテラシーを無料で診断するWebサイト「セキュリティ"力"ランキング」を運営している。25問の質問に回答すると、セキュリティリテラシーの診断が行われる。同サイトの企画・
特集
特集
(3)日本企業のセキュリティ力底上げのために
「セキュリティ"力"ランキング」は企業での利用を想定しています。そこで今回は、活用事例として、全社的な社員教育に活用いただいた、株式会社山善の例を紹介しましょう。
大阪に本社がある同社は、従業員数2,000名弱、創立62年目となる生産財・住設建材などの流通商社です。人事データから派遣社員を除く受講可能な約1,650名の社員に受講の通達を出した結果、約2ヶ月間の受講期間の間に、受講完了が1,332名、中断・受講切れが167名で合わせて1,499名の社員の方に実際に受講していただきました。
同社がこのサイトを利用した目的は、全社員のセキュリティリテラシーの分野別レーダーチャートを見ることにより、自社の社員に情報セキュリティがどう備わっているのか、不足している部分は何かを知るためでした。
そのため、個人の結果を評価するというよりは、社員それぞれが、自分には何が不足しているかを認識することに重点をおき、合格点を70点以上と定め、合格するまでは繰り返し受講するよう通知しました。
結果は8月末に実施報告を出し、全社平均点は77.5点でした。社員を2グループに分けて受講した結果、グループによる目立った差異はほとんど見られなかったため、今後の教育課題も明確になったということです。今回の受講結果は、今後の社員教育に役立てたいとのことです。
受講者の意見として「質問の問い方が、“不適切なものはどれか”等あいまいである」「IT用語がIT業界以外の人にはなじみにくい」といった指摘がありました。質問の問い方については、アンケートでも同様の意見をいただいていますが、環境や組織の規程によって「正しい」「正しくない」と断言できない場合もあるために、あえて「不適切」という表現を使っているのですが、今後の問題作成の課題として考えています。
「セキュリティ"力"ランキング」はその他にも、県や市などの職員研修としても活用されています。2008年2月の、情報セキュリティの日の推進行事として全職員に受講を勧告しているという報告を、県庁の方からお聞きしました。
さて、情報セキュリティリテラシーの向上を図るには、どのようにしたら良いのでしょうか? 情報セキュリティの管理者が考慮しなければならない点について考えてみます。
最初に、組織全体の平均点を向上させるように教育をするという方法が、考えられると思います。しかし、前回の掲載で正答率の分布について書きましたが、仮に100人の組織で、99人の情報セキュリティリテラシーが高かったとしても、情報セキュリティのリテラシーが低い人が一人でもいると、その人が情報セキュリティ事故を起こす可能性があります。
つまり、組織の情報セキュリティ管理者としては、一部の情報セキュリティリテラシーが低い人にフォーカスして、重点的に教育を行うことが重要になると考えています。「セキュリティ"力"ランキング」を利用する場合には、点数の低い人に受講後に解答を間違えた問題の解説を読んで理解を深めてから、再度受講してもらうということも、有効になるでしょう。
また、組織によっては、特定の問題カテゴリー又は特定の問題の正答率が極端に良くないという結果が出ることも考えられます。このような特定の問題のシチュエーションが、自組織で業務を行う場合に出てくることが想定される時には、早急な対策が必要になります。この場合には、正解の解答に対する、解説をまじえた教育が必要になるでしょう。
また、間違えた選択肢が集中している場合には、間違えた選択肢を選んだ場合に想定できるセキュリティ事故についても説明することが、情報セキュリティリテラシーの向上のためには重要であると思います。
最後に、今後の「セキュリティ"力"ランキング」の有償での機能拡張について説明したいと思います。情報セキュリティリテラシー向上のためには、どのような選択肢を選んで不正解になったかということが、重要であると書きましたが、現状の機能では管理者は、受講者がどの問題で正解あるいは不正解であったということは把握できますが、何を選択して不正解になったかということは残念ながらわかりません。今後の機能拡張では、この点を改善して、管理者は受講者が何を選択して不正解になったかを把握できるようにしていきます。
その他の拡張機能として、
・組織特有の問題の追加(5問程度)
・全問題の中から特定の問題だけ、あるいは問題グループの中からの出題
・問題の出題順は、受講者ごとにランダムに出題する
等の機能を検討しています。なお、今後の機能拡張は有償での提供を考えていますが、現在の「セキュリティ"力"ランキング」の機能は、引き続き無償で提供します。
情報セキュリティ事故は、技術的な対策を実施していても、組織の中の一部の人の人為的な判断ミスなどにより起きている事例もあります。自組織の情報セキュリティポリシーを浸透させることは重要ですが、基本となる情報セキュリティリテラシーを向上させることも情報セキュリティ事故を未然に防ぐという観点からは、大事なことです。組織の管理者の方は、自組織の情報セキュリティ力を底上げさせるために、情報セキュリティリテラシー向上を考えていただけるようお願いいたします。
【執筆:JNSAセキュリティリテラシーベンチマーク作成WGリーダー
株式会社JMCリスクソリューションズ 大溝裕則】
【関連リンク】
NPO日本ネットワークセキュリティ協会(JNSA)
http://www.jnsa.org/
セキュリティ"力"ランキング
http://www.jnsa.org/Seculiteracy/
日本の企業と個人の「セキュリティ力」を診断する
(1)情報セキュリティ力診断プロジェクトとは
https://www.netsecurity.ne.jp/7_12004.html
日本の企業と個人の「セキュリティ力」を診断する
(2)正答率から見る日本企業のセキュリティ力
https://www.netsecurity.ne.jp/7_12057.html
《ScanNetSecurity》