NetSec 2日目

NetSec の2日目、よく眠れたので大丈夫・・・と思ったけど甘かった。午後のセッションでは、また強烈な眠気が・・・・。かろうじて熟睡は免れたけど、結構きつかった。

今朝のキーノートは、Awareness Trainingのパネル。日本語に訳すと啓発教育とでもいうのだろうか。セキュリティ関連のコンファレンスでは必ずこの種のトラックがあることから、米国では相当重視されていることがわかる。今朝のパネリストたちも、いわゆるFortune 100くらいのレベルの会社や政府機関などで、この種のトレーニングに長年関わってきた人たちだ。

経験上、うまくいったこととうまくいかなかった事・・・というようなテーマで話が進んだのだが、やはり啓発は、Face to Face のトレーニングが最も効果を上げるということだった。参加者固有の問題に対して、きちんと答えられるというのが大きな理由のようだ。一方で、画一的な告知メールのようなものは効果が薄い。すべての人に同じ言葉で語るのではなく、たとえば、管理職、営業、技術・・・といった職種に、彼らの言葉を使って伝えるのが最も効果的とのことだった。面白かったのは、トレーニングへの参加率を上げるために、自宅のインターネット環境で家族をウイルスやフィッシングなどの被害からどう守るかという内容を加えたら、非常に好評だったといった工夫の例だ。ともすれば上意下達的になってしまう日本の会社も、こういうことをもっと考えるべきなのだろう。日本の会社の教育は、ともすれば規則を覚えさせることに終始しがちだが、本当の意味でのAwarenessは、その規則がなぜ必要なのかを教えることだ。これは簡単ではないが、人に依存しがちなセキュリティを本当の意味で守っていくには、遠回りなようで最も確実な道なのかもしれない。だからこそ、こうした巨大な企業や組織が、専門のチームを作ってまで取り組むのだろうと思う。知らせ方や教え方だってテクニックがある。パネリストの一人は広報畑の出身で、その専門性を活かして効果を上げている。

ようやくセキュリティマネジメントに本腰を入れ始めた日本企業、しかし、その手本は既に米国にあると言っても過言ではない。文化の違いはあっても、人の本質はどの国も同じだ。もう何年も試行錯誤をし、その結果として彼らが得てきたものを学ばない手はないと思った。