悩み(1) IT部門のみで経営層のセキュリティ意識を向上させることに限界を感じている
a社は役員も対象に全従業員向けのセキュリティ教育を実施している。しかしながら、年1回の標的型メール訓練では経営層のメール開封率が他の従業員と比較して高い傾向にあった。
基本情報
a社の状況
- 役員を含めて、全社員向けのセキュリティ教育を設計、運営している。
- セキュリティ教育や訓練の結果を部署ごとに分析している。
- 経営層に対するセキュリティ教育はどのような内容を行えばよいかわからない。
a社のプロフィール
| 業種 | 製造業 | |
|---|---|---|
| 規模 | 6,000人 | |
| 管理 体制 | CISOの有無 | 有(CIOと兼任) |
| 専任のセキュリティ部署 | 無 | |
| サイバーセキュリティ の主管部署 | IT部門 | |
セキュリティ担当者の問題・悩み
a社では、製造部門でIoTの利用が進んでいる等、経営としてセキュリティに取り組む必要性とともに以下のような悩みを持っていた。
- 経営層はセキュリティリスクを認識してはいるが、ITリテラシーが十分でない
- 経営層もサイバーセキュリティのトレンド等を理解していなければ、適切な経営判断が下せない
一方、部下の立場から経営層に研修を実施することに否定的な意見もあり、経営層のためのセキュリティ教育の実施について悩んでいた。
取組(1) 外部講師による経営層向けの研修会を実施する
解決に向けたアプローチ
主な研修内容(イメージ)
そこでa社のCISOであるIT部門の部長は、セキュリティ研修を提供する外部機関に相談の上、研修の必要性や役員が受講したい内容を確認するために役員に対してアンケートを実施し、役員向け研修を企画・開催した。
【役員向け研修の概要】
| 対象: | ITやセキュリティ投資に係る役員 |
| 時期: | 年1回の定期開催(※但し、サイバー攻撃やITのトレンドが変化した場合は適宜開催) |
| 内容: | 都度、検討するものの、初回は左記の内容とした |
ビジネス誌等で見聞きする内容について外部講師に質問できたり、事業部間でリスク認識を共有できたり、と研修を受講した役員からの評判も上々であり、今後は年1回定期的に開催することが決まった。
部長は、外部講師の指摘に関連する社内の対策状況を定量的に報告するようにした。さらに、経営会議では経団連やNISCなど外部のセミナーや研修があれば紹介するようにした。
得られた知見
a社のCISOであるIT部門の部長は、経営層向けのセキュリティ研修実施の効果を「セキュリティに興味を持った結果として経営層が外部のセミナー等にも参加するようになった」ことにあると考えている。
まずは自社内の役員間においてリスク認識が共有されたことに加え、外部セミナー等に参加すると、他社の役員ともリスクや対策に関する情報共有が行われ、セキュリティ投資に関する理解が得られやすくなったと感じている。