情報セキュリティ研修は絶対に必要だけど
ビッグデータやオープンデータの利活用、ICTを活用した顧客サービスの向上など、組織が取り組むべき課題は多くあります。
しかし、それにかかる情報の管理は、利便性が増すほど難しくなり、あらたなシステムやサービスを導入することは、守るべき情報が増え、その情報を取り巻く脅威が増えることにもなります。
そのような状況の中、顧客から託された多くの重要な情報を適正に取り扱うため、また、情報システムで取り扱う情報を適正に管理するため、情報セキュリティ研修を実施する企業も増えてきました。
しかし、情報セキュリティ研修を何年も繰り返し行っていても、毎年発生する人的ミスの内容、件数は変わらず、情報セキュリティに対する知識が蓄積された人員が増えていないのが現状ではないでしょうか。
社員や部門の責任者は、本来業務に追われ、情報セキュリティ対策は余計で重荷であると感じていませんか?
ルールを遵守する意識が低い者やリスクコントロールの感覚が鈍い者が一定数存在しませんか?
今まで通りの情報セキュリティ研修だけでは、その構図は変わりません。
研修の予算、研修実施にかかる事務量、研修受講者の負担を無駄にしないために、今よりも効果がある情報セキュリティ研修を行いたい。
受講して良かったと実感してもらえて、実際の業務に役立つ、人為的ミスが減少する情報セキュリティ研修を実施したい。
そう考えたときに、見えてくる情報セキュリティ研修を実施するうえでの課題をまとめてみました。
講師募集の課題
外注業者選定方法の見直し
これは、気に入った業者を自由に選択して外注出来るような会社や組織なら生じない課題です。
参加資格を設定し応募者をあらかじめ絞るプロポーザルや、これまで情報セキュリティ研修を依頼した数社の見積合わせなどで受託者を決定することが求められる場合の課題です。
プロポーザルや見積もり合わせで受託者を決定し研修業務委託を行っても、そもそも応募してくる「いつもの業者」のSEやPM、監査人などが研修講師役となる場合が多いです。
そうなると、一定レベルは期待出来ても、それ以上の効果が得られる情報セキュリティ研修は望めません。
一番安い見積金額であった、無難な提案をした、だけの研修業務受託会社の社員が講師、ではなく、受講者の魂を熱く揺さぶるような情報セキュリティ専門の研修講師が必要です。
講師に、「どんな情報セキュリティ研修をして、受講者に何を学ばせたいか」を伝え、あとは講師の力量に任せ、講師の得意なスタイルで情報セキュリティ研修をしてもらうほうが、面白い研修になると思います。
しかし、その為には、安定の実績を持つ講師じゃないと怖いですし、よく分からない業者や講師に依頼するのは一定レベルを担保出来るかも分からず、予算の無駄遣いになりそうで怖いです。
ふさわしい講師を見つけるのが難しい
情報セキュリティ研修の豊富な実施経験や支援経験、政府機関への従事経験、政府機関が実施する情報セキュリティ研修の講師経験、大学での関連分野の非常勤講師の経験等を併せ持ち、そして受講者の興味を引く話術や研修スタイルを持つ講師を見つけるにはどうすれば良いか?
あるいはこのようなオーダーを受け、最適な講師を用意してくれて、研修全体をコーディネートしてくれるサービスがないか?
私もこの課題をクリアすべく、様々なチャネルを探していますが、ようやく見つけた講師やその所属企業に限って、当方の契約形態と馴染まず断念せざるを得ないなど、なかなか望む結果が出せていません。
どこのセキュリティベンダーでも監査会社でも情報セキュリティ研修業務は扱っていますが、価格や契約形態、研修講師の資質などを総合的に見ながら、これからも開拓を続けていきます。
研修テキストの課題
研修テキストを作ることが研修業務になっていないか
情報セキュリティとは、ルールを守ることだけが大事なのではなく、いかにリスクをコントロール出来ているかが重要です。
その感覚を受講者に養ってもらう情報セキュリティ研修が必要ですが、そのためにテキストを読むことだけが効果的といえるでしょうか。
受託者も我々もテキスト作成事務に時間を取られ、その割に、受講者にとって分かりやすいものになっていると思えないし、後から見直しても役に立つようなものは作れていない。
その場限りで捨てられる情報セキュリティ研修テキストを作る無駄を痛感します。
ならば、テキスト内容の細部にこだわるのはやめて、情報セキュリティ研修で必ず伝えたいことのテキストは我々で作り、我々が受講者に説明すればよい。
そして、あとの一般的な研修内容は、講師にアウトラインだけ伝え、講師の感覚に任せることにより、カスタマイズ費用の高騰を防ぐ事も出来るでしょう。
実施したテキスト原稿やチェックリストが残るだけ、やって終わり、ではなく、職場、実務での情報セキュリティに対する気づきや検討、部署内での情報資産の取扱いに対する意見交換などが活性化されるきっかけになる情報セキュリティ研修を実施したいですよね。
受講者は出席しただけ、テキストさえ持って帰ればよい、受託業者もテキストを作る事だけに注力し効果的な講義が出来ない、我々も実施実績だけを求めてしまえば、こんなことに大事な予算を使う意味はないでしょう。
研修とは、テキストが残るのではなく、受講者の心に何かが残ることではないか
講師がテキストを読むだけの情報セキュリティ研修なら、わざわざ集合研修を行う必要はなく、e-ラーニングで十分。
テキストはあくまで研修内容の把握、目安、指針であると考え、集合研修に参加することによって、テキストを読む以外の効果を得られるための講師選び、研修方法が必要です。
これまで何度も情報セキュリティ研修テキストで取り上げてきた内容は、ほぼ理解されることなく、波及されることなく、人的ミスは発生し続けています。
出席した、テキスト見た、だけの情報セキュリティ研修から、講師の言葉の10のうち1つでも心に残り、1つでも意識を変えられる研修、それを繰り返して、やがて10の意識が変わる、そんな研修を受講してもらいたいです。
テキストの朗読、そんなのは無駄です
なんなら情報セキュリティ研修資料は、塗り絵が出来るようなイラストのみ、くらいの勢いでもいいです。
受講者が自分に響いた事を書き足して、自分なりのテキストにすれば良いし、必要な事をまとめたテキストなんて、研修終了後にいくらでも配布出来る。
内容を網羅したテキストがあるから、出席しただけで安心、実施しただけで安心、そんな悪循環を生むのではないでしょうか。
ならばケーススタディーを、となりそうですが、取り上げる題材が講師の十八番で、必ず満足してもらえます、という自信のあるものなら良いとしても、とりあえずやってもらうケーススタディは無意味です。
情報セキュリティ研修受講者に必要なのは、興味が持てて面白いと思える実践的演習や講師による実演、講師が受講者に何を伝えたいかと、それを伝える話術でしょう。
演台のパソコンの前にいるだけでなく、壇上で踊る、研修会場を徘徊する、時に歌う、くらいでも良い。
受講者の心をひきつけ、受講者の心に何か一つでも刻んで帰らせる。
ルールを守るためではなく、情報を守るための情報セキュリティ研修、それはテキストから生まれるのではなく、研修会場で作り上げられ、講師の力量で完成するものだと思います。