職場内のヒマなやる気のあるメンバーが集まってちょっとした勉強会をやってみる。とりあえず各自自分の興味があることをってんでセキュリティ教育について発表してみた。内容を大雑把にまとめると、この職場ではとにかく底辺レベルの底上げが急務だけれども、さてどういう教育がよいだろうか、という話。それにつけくわえて「教育・啓蒙」は決して魔法の杖だったり万能特効薬だったりはしないことにもちょっと触れる。あと、一気に底上げを図るよりも、やる気のある人を重点的に鍛え、部門における教育拠点に仕立て上げる方法もあるということなどを話す。
で、具体的な方法論としての「いかにその気のない職員を巻き込むか」というところに意見が集中した。やっぱりそこが一番の問題だよなあ。どういう内容がよいかという点については、まずこちらから実習やグループディスカッションを含んだ「参加型」の研修や具体的かつ生々しいレベル(個人情報流出時の損害賠償がいくらになるか等)の事例紹介、ソーシャルエンジニアリングの実例をロールプレイで紹介するなどはどうかと提案。そこに「セキュリティ習熟度テスト」はどうかという意見が出た。
で、テストについてしばし掘り下げてみることに。テストというと「そんなものでセキュリティレベルが計れるか」という意見もありそうだが、個人的には面白いのではないかと思った。なにしろはっきり数字で結果が出てしまうのだからわかりやすいことこの上ないのがいい。ただ「試験用の解答」をしてしまうユーザーが多いのでは、という指摘をしてみた。これに対しては「問題を解く過程でそのような問題があることを認識ができる」という意見がでる。なるほどね。単に結果だけを見るのではないということか。
そう考えてみると、テストの実施というのもなかなか実効性があるのではないだろうか。イントラネットを利用して解答するようにすれば各人の負担もそれほど大きくはならなさそうだし{{fn '実施のコンセンサスを得られるかどうかという問題はありそうだけど'}}。もちろん結果は集計の上各人に知らせるのだが、他に部署単位での成績をオープンにしてはという意見も出た。部署間のメンツを逆手に取るオトナな手法といえよう(笑)。
そこからさらに一歩進んで「ある一定以上の成績に達しない人にはPCを付与しない。またはネットワークへの接続を許可しない」という強硬手段もあるかもねー、と言ってみるテストをした。さすがにこれは過激すぎたようだが、クリティカルな部門においてはそういう手段を取る必要に迫られる場合もあろう。問題はそこまでの権限をセキュリティ部門(情報システム部門)に与えることができるかどうかだ。
とりあえず今回はそんなところ。他にも色々考える余地はあると思うけど、なかなか面白い話ができたのではないかと思う。