編集部からのお知らせ
New! 記事まとめ「ISMAP-LIU」
話題の記事まとめ「通信障害と社会リスク」

ZDNet Japan編集部がセキュリティのプロGSXに聞く! セキュリティの「最も弱い部分」を守りの「最後の砦」に変えるには?

「どうしてこんなルールが?」に納得を与える「MinaSecure」(ミナセキュア)

 このように、誰もが標的型攻撃メールを受ける可能性があることを踏まえて、「次に何をすべきか」を考えるようになると、新たな疑問が浮上してくるそうだ。

 「初動対応を徹底するためルールを確認すると、『今までのルールはこうなっていたが、本当に実効性があるだろうか』と、自ずとルールの見直しにつながります。同時に、従業員に対して『そうしたルールがお仕着せではなく、本当に腹落ちするように伝えたい』というニーズが生まれてきます」と船橋氏。GSXでは標的型メール訓練を通じて顧客から寄せられたこうした声に答え、従業員一人ひとりにセキュリティのルールを理解してもらうための新たなサービス「MinaSecure」を開発した。

 MinaSecureは、セキュリティに関する教育コンテンツをインターネットで学習するeラーニングサービスの一つだが、ありがちなeラーニングとは異なり、従業員一人ひとりが「なぜ自社のセキュリティルールはこうなっているのか」を納得し、セキュリティ対策を"自分ごと"としてとらえられる内容になっているのが大きな特徴だ。

 既存のセキュリティに関するeラーニングと言えば、「個人情報とは何か」「セキュリティの三大要素は『機密性』『可用性』『完全性』である」といった教科書的なものが多い。確かにそれらはセキュリティの基本としては重要であるものの、「普段の業務を行っている従業員にとっては、業務に関係ないあるべき論ばかりで自分事にならず、腹落ちしない。『そうなんですね』と終わってしまうものばかりでした」(船橋氏)

 このような従来のeラーニングの課題に対し、MinaSecureでは「社員がカフェに行って、ノートPCをフリーWi-Fiにつなごうとしている」「ランチに出かけた先で、ノートPCが入ったカバンを席に置いたまま列に並んでしまった」「打ち合わせの最中に撮影したお客様の新商品の写真を、誤ってSNSにアップロードしてしまった」といった、仕事をしている中で実際に起きがちなシチュエーションを例に挙げ、その行動のどこに、どんなリスクが潜んでいるかを解説していく。


※クリックすると拡大画像が見られます

※クリックすると拡大画像が見られます

 例えばフリーWi-Fiなら、盗聴がいかに簡単に行えるかを解説し、大切な情報を守るために適切な行動を伝える。学習の最後に「理解度チェックテスト」を行い、従業員それぞれの理解度を確認できる。カスタマイズできるアンケートを通じて、セキュリティ担当者が従業員の生の声を収集することも可能だ。

 MinaSecureのコンテンツは、単に文章を並べるのではなく、イラストを活用した親しみやすく、分かりやすい内容になっている。船橋氏は、「登場する用語についても、例えば『公衆無線LAN』ではなく『フリーWi-Fi』としたり、『SNS』ではなく『Instagram』や『Twitter』といった具体的なサービス名を挙げたり、だれにとっても分かりやすい、一般的な用語を使っています」と話す。ちなみに、コンテンツに登場するリスクやルールの解説役は、GSXの実績ある脆弱性診断サービス「タイガーチーム」をもとに生み出した、かわいらしい「虎」のキャラクターになっている。


 GSXではサービス開始後に、業種・業態に合わせたシナリオなども追加していく計画だ。企業ごとのきめ細かなカスタマイズにも対応する予定である。「実際に、自分たちが日々の業務でしている内容をストーリーに用いて、それを体験していただくことで、分かりやすく、頭に残りやすくすることを重視しています」(船橋氏)

ルールを見直し、従業員が納得し、改善していくことが会社の力に

インフォメーション

提供:グローバルセキュリティエキスパート株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2017年10月16日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]