セキュリティ教育について

sumi@情シスのお姉さんが2021/2/25に開催した”情シスランチ〜セキュリティ教育 ゆるふわ会〜”で、とても良い話ができたのでnoteにまとめました。

・社員へのセキュリティ教育は、セキュリティは「自分ごと」と考えてもらえるような機会にする

・インシデントの事例だけでなく、何もインシデントが起きなかったことに注目して褒める

・社員へセキュリティの説明をする時は、ポジティブな言い回しを心がける#情シスランチ #corpengr_lunch_sec

— sumi@情シスのお姉さん→03.20 JAWS DAYS 2021 (@suemin_jp) February 25, 2021

"社員へセキュリティの説明をする時は、ポジティブな言い回しを心がける"

とても大切なルールがあります。それは「やれよ」という言葉です。
この言葉を使ってはいけません。
「やれよ」と言った瞬間に、「自分ごと」から「他人ごと」になってしまうのです。

情報セキュリティはどちらかと言えば余計な仕事を増やします。例えばFAXやメールの誤送信を防ぐためには、送信前の再確認がとても大切です。でもこれは手間が増えてしまいます。

仕事が忙しくて一生懸命頑張っている、でもうっかりメールの誤送信をしてしまうこともあります。

そこで管理者から担当者に「今度からは送信前の再確認やれよ」と言った瞬間に、担当者は叱られる事が怖くて以降は送信前に再確認するようになるかもしれません。でもそれは自分の意思など関係なく、やらされているに過ぎないのです。

”インシデントの事例だけでなく、何もインシデントが起きなかったことに注目して褒める”

情報セキュリティは、ルールを決めて守らせることだと思っていませんか？
でもそれは違うのです。

少し角度を変えて言えば、あなた一人が頑張っても情報セキュリティは実現できません。誰一人欠けてはいけないチームプレイなのです。本質的には野球やサッカーと同じで、仲間を信じ支え合う関係作りから生まれるものです。

例えば、ミスは注意力と密接な関係があり、注意力が下がる要因の一つとして焦りから生まれる事が分かっています。ならば焦らずに仕事ができる環境を作るには、信頼し合える仲間であれば配慮や工夫もしやすいと思います。

ルールを守らせるのではなく、仲間が助け合ってインシデントを起こさないことを継続することが大切なのです。そして、部門や課でチームを作りインシデントの少なさを競い合って下さい。年間を通して一番インシデントが少ないチームを褒めてあげてほしいのです。みんなの前で表彰して、インシデントを減らせた配慮や工夫を共有してもらいましょう。それが大切な会社の財産となります。

”社員へのセキュリティ教育は、セキュリティは「自分ごと」と考えてもらえるような機会にする”

新型コロナの怖いところは、インフルエンザ（2019年度の感染者数 1044万人）と異なり、身の回りで感染する人が少ないため油断してしまうところにあります。こうした油断を抑え込むために緊急事態宣言によって注意喚起している状況なのです。

情報セキュリティも、他人の起こした事故を元に作られた教育資料を使ったとしたら、あまり心に響かないかもしれません。一方で1年間を振り返り社内で起こしてしまった身の回りの事故を元に教育資料を作ると多少は心に響くかもしれません。
例えば、私が情報漏洩事故の統計を取ったところ７割〜８割は人為的な原因でした。具体的にはメールとFAXの誤送信とUSBメモリや書類の紛失です。これを毎年統計を取りましたが順位はほとんど変わりませんでした。つまり、この点をしっかりと教育することが最も効率が良いと考えられます。

繰り返しますが、1年間は情報漏洩事故の統計をとって下さい。そして身の回りの事故を元に、発生頻度に基づいた効果的な教育資料を作って下さい。もちろん資料は紙でも、動画でも、e-ラーニングでも手段は問いません。

そして最も重要なことがあります。それは相手への伝え方です。
情報漏洩やミスに対して決して怒らないで下さい。事実を元に伝える姿勢が大切なのです。恐怖心を働かせるのではなく、情報セキュリティをどうやったら実現できるのか、思考を働かせてもらうことが狙いです。すなわち「自分ごと」として考える機会を作ることです。

やってみせ、言って聞かせて、させてみせ、ほめてやらねば、人は動かじ
話し合い、耳を傾け、承認し、任せてやらねば、人は育たず
やっている、姿を感謝で見守って、信頼せねば、人は実らず

山本 五十六