「セキュリティ対策はコストがかかるだけで、売上には繋がらない」
「セキュリティ教育の効果は曖昧で、可視化できないものだ」
「セキュリティは情報システム部門(情シス)が対応すべき仕事だ」
多くの日本企業において、情報セキュリティに関する話題は、いまだに「守り」や「コスト」、あるいは「義務」の文脈で語られることが大半です。しかし、AI技術が急速に進化し、サイバー攻撃が巧妙かつ大量に襲ってくる時代。その認識のままでいることは、企業にとって最大の脆弱性になりかねません。
セキュリティ対策を実行する上で、システム上の対策は欠かせません。
しかし、それ以上に重要なのが「人」への対策です。
本書は、年間約600社へのセキュリティに関するコンサルティングと、2500社以上へのセキュリティ教育ツールを提供する著者が、現場で得た、「セキュリティで組織を強くする」知見を紹介する本です。
AIの普及とサイバー攻撃の高度化により、従来のセキュリティ教育では現場のニーズに十分応えられなくなってきました。企業が従業員に一方向で知識を渡すだけでは、実際の行動変容に繋がりません。
本書では、これからの時代に求められる教育のあり方を「TEACHモデル」としてまとめています。
このサイクルでは、まず「気づき(Trigger)」「学び(Engage)」「実践(Adapt)」のプロセスを経ることにより、教育を受ける従業員の中に納得感を醸成させます。
そして、それらの取り組みを「継続(Continue)」していくことで、従業員にとってセキュリティを〝当たり前〟のものとして習慣化させます。
また、サイバー攻撃やAI技術が日々進化し続ける以上、同じことを継続しているだけではセキュリティの仕組みは後退していきます。蓄積されたデータや取り組みによって得られた知見に基づき、セキュリティ教育自体「高度化(Heighten)」させていきます。これらのプロセスを通じて、セキュリティにおける従業員の行動変容を実現します。
