TOPSoftware > サイバーセキュリティ啓発月間、企業にとっての意味は(後)

Software

サイバーセキュリティ啓発月間、企業にとっての意味は(後)

2019/11/14

Steven J. Vaughan-Nichols Computerworld

 米国では、毎年10月がサイバーセキュリティ啓発月間(NCSAM:National Cybersecurity Awareness Month)と定められている。米国土安全保障省(DHS)が16年前に始めた取り組みで、その主な狙いは、オンラインでの自己防衛の方法について、一般消費者の意識を高めることにある。2019年の啓発月間では、「Own IT. Secure IT. Protect IT.」というテーマを掲げ、オンラインプライバシー、IoT、eコマース、ソーシャルメディアボット、スマートホームデバイスなど、13の分野に焦点を当てている。

前回から続く)

 政府機関や自治体も、サイバーセキュリティ啓発月間を機に、サイバー衛生上望ましい習慣に関するメッセージを広めている。「地方自治体や州政府が、共通のリソースプールのような役割を果たし、その地域に影響を及ぼしているサイバーセキュリティの脅威やトレンドについて話題にしている」とShepley氏は言う。

 「さまざまな動きがあって、我々も全然把握していない。ある意味そこがポイントだ。このコンテンツは、皆がどこにでも自由に持って行って広めてほしいというつもりで作っている」

 サイバーセキュリティ啓発を巡っては次のような大きな問いもある。取り組みに見合った価値が果たして得られているのかどうかだ。世間一般の人々や社員全般は、啓発トレーニングを何回受けても、同じ過ちを繰り返すものだと指摘するセキュリティプロフェッショナルは少なくない。啓発活動でユーザーの行動が変わらない理由については、引用されることの多い顕著な研究結果がある。英オックスフォード大学と英ユニバーシティ・カレッジ・ロンドンの研究者が発表した「Cyber Security Awareness Campaigns: Why do they fail to change behaviour?」だ。

 研究結果によると、啓発活動の多くに含まれているネガティブな恐怖心の要素が、セキュリティ行動の変化を阻んでいる。「行動を変えるには、知識と意識は必要条件ではあるが、それだけでは必ずしも十分ではない。他の影響づけの方策と組み合わせて取り入れる必要がある。ポジティブなサイバーセキュリティ行動を植えつけることが極めて重要だ。その結果、思考が習慣となり、さらには組織の情報セキュリティ文化の一部となることが考えられる」とのことだ。

↑ページ先頭へ