TOPNetwork > 企業のサイバーセキュリティートレーニング、低コストで効果を高...

Network

企業のサイバーセキュリティートレーニング、低コストで効果を高める方法(上)

2021/11/15

Josh Fruhlinger CSO

方法1 社内での正式なトレーニングプログラム

 社内でトレーニングやナレッジトランスファーを実施する方法は、会社の規模やキャパシティに応じて、さまざまな形態が考えられる。例えば米MongoDBの場合は、社内のすべての部署で「セキュリティーチャンピオン」プログラムを導入している。同社のLena Smart最高情報セキュリティー責任者(CISO)によると、自ら志願した従業員がチャンピオンを務め、ビジネス部門がセキュリティー上のニーズ、課題、要求について議論するための橋渡し役になるという。チャンピオンは、毎月のセキュリティー会議に参加したり、セキュリティー面の問題についてチームを指導したりする。また、現在のセキュリティー問題についての学びに週2時間を投じることになっている。

 コストを数値化することは難しいが、投じた費用に見合うだけの価値はあるはずだとSmart氏は言う。「例えば、ネットワークセキュリティーのベストプラクティスについて、チャンピオンらを対象としたプレゼンテーションをセキュリティーエンジニアが行った場合、各チャンピオンも得るものがあるし、セキュリティーエンジニアの仕事も楽になる。チャンピオンはそのセッションで学んだことの共有や導入に乗り出す可能性が高い」。このプログラムは会社の上層部からも賛同を得ており、現在はフルタイムで担当している従業員が1人いる。

 とはいえ、MongoDBは、従業員が約2900人と、かなりの規模の企業だ。中小企業やスタートアップ企業でこの手のプログラムを維持することは、やはり簡単ではない。社内の人材やリソースに限りがある企業で、従業員同士がさほど格式張らずに互いのスキルに磨きをかける方法については、他のITプロフェッショナルから挙がった話も参考になる。

方法2 ナレッジセッション

 カナダLoginRadiusの共同創業者で最高技術責任者(CTO)のDeepak Gupta氏は、創業初期の頃にこの問題に対処した方法について、次のように振り返る。「チームの規模は小さく、経験もあまりなかったので、メンバーの学びと成長が不可欠だった。チームに足りない具体的なスキルについては、毎週のセッションを通じて、知識のギャップを埋めるよう努めた。ここで重要なのは、チーム自体に学びと変化の意欲があるかどうかだ。この姿勢によって、我々はチームの構築に成功した」

 米1898 & Co.も同様で、やや略式のプレゼンテーションを従業員のトレーニングに活用している。サイバーセキュリティーマネージャーのJason Vigh氏はこう話す。「ランチミーティングを通じて、サイバーセキュリティーのさまざまなトピックについて語り合うオープンな場ができる。ベテランの参加者が自らの経験を伝るだけでなく、若手の参加者も、さまざまなトピックについて自分なりに調べた成果を発表し、経験豊富な従業員からフィードバックを得て、調査や学習の着想が適切かどうかを検証できる」

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ