実録 社内向けに事業部門が考えるべきセキュリティトレーニングをやってみた【第1回】はじまりは本部長の危機意識
トレンドマイクロの取り組みを例に、事業部門にサイバーセキュリティトレーニングを企画、運営する際のヒントを紹介します。
連載スケジュール第1回 はじまりは本部長の危機意識
第2回 トレーニング環境を短期間で実装
第3回 教育プロジェクトのレビュー
事業部門において、サイバーセキュリティを理解した人材の確保は新たな課題です。自分たちの事業領域を十分に理解したうえで、サイバーセキュリティのリスクを把握する。経営陣ともコミュニケーションがとれる中核人材を育成する。その手段として、すでに組織に在籍している社員を、教育を通じ「プラス・セキュリティ人材」を育成する「内製化」が注目されています。
こうした企業の課題に応えるため、当社では専門性を活かし、専門人材からプラス・セキュリティ人材まで育成支援をおこなっています。執筆者が開発に携わった事業部門向けのトレーニングについて、正式リリース前に社内テストとして当社コーポレートマーケティング部門に実施しました。本稿では、このサイバーセキュリティ教育プロジェクトの取り組みを例に、皆さまが事業部門へのサイバーセキュリティに関するトレーニングの企画、運営の方法に関するヒントについて紹介します。
【第1回】はじまりは本部長の危機意識
教育プロジェクトのスタートは、コーポレートマーケティング部門の本部長からのトレーニングの企画依頼メールでした。「お客様の環境が激変しています。本部メンバーがお客様の環境や課題を理解できているか、確認する機会が必要だと感じています。実際のお客様の環境において、セキュリティリスクがどのようなところにあるのか、サイバーセキュリティの適用がどのように行われているのか理解を深めてもらいたい。その上で、お客様の目線にたったコンテンツの作成を行えるようになって欲しい」そのためのトレーニングを提供して欲しいというリクエストでした。
コーポレートマーケティング部門は、当社においては、日本発グローバル規模のサイバーセキュリティ企業として、セキュリティ啓発といったエバンジェリズム活動や、ブランディング、またマーケティングメッセージおよびコンテンツの企画・作成の役割を担っています。
所属メンバーは、報道機関の記者対応など突発的な対応や、イベント準備など拘束時間の長い対応など、長時間の「集合研修」実施が困難であることが予測されました。
そこで、オンラインのLive形式で外部提供実績のあった事業部部門向けトレーニング「セキュリティナレッジトレーニング- 業務担当者向け」を「オンデマンド(OnDemand)」で学ぶことができる環境を構築し、「ドッグフーディング(Dogfooding)※」プロジェクトとして、実行することを計画しました。
※正式リリース前に自社製品・サービスを、自社社員がユーザとしてテスト利用することで、改善に役立てる方法。
今回のゴールは、現在のお客様環境、セキュリティリスクと課題を理解して、実務で応用していくことです。
時間的な制約、受講生の動機やリテラシーにばらつきも予想される中、どのように工夫し、効率的で効果の高いトレーニングを目指したか、以下のポイントから紹介します。
・ニーズを分析し、解決策を明らかにしていく
・ブレンディッド・ラーニングのデザインで実践的な知識に
・コアメンバーの選出で課題とニーズを正確に把握する
・トレーニング環境を短期間で実装
・試験結果の検証でフォローアップ点を把握
・集合研修でのアウトプットによる理解の定着
・教育プロジェクトのレビュー
ニーズを分析し、解決策を明らかにしていく本部長からの依頼を受け、まず取り組んだのが「キックオフミーティング」です。ここでは、次の事項について整理を行いました。
・受講対象者の属性や人数(23名)
・現在抱えているリテラシーの課題
・受講修了後の期待
・受講対象者からのコアメンバー(3名)の選出
・コースの実施から完了までの期日
・コースの内容に対するリクエスト
今回のプロジェクトは、本部長(プロジェクトスポンサー)発案によるトップダウンプロジェクトです。このため、キックオフミーティングの実施は円滑に実現されました。
一方、プロジェクトスコープに関しタイトな要求がありました。プロジェクト発足からコース開始までの期待値は、1ヶ月後と設定されました。
受講生と講師との橋渡し役を担う「コアメンバー」を選出することで、両者の限られた時間内でニーズ把握を目指しました。これについては後述します。
ブレンディッド・ラーニングのデザインで実践的な知識にキックオフミーティングを受け、コンテンツ、学習環境の開発は最短で実装する必要が明らかとなりました。その上で、受講後の「学習成果」を実感できる工夫も欠かすことはできません。
そこで、複数の学習方法を組み合わせるブレンディッド・ラーニングの形態を採用することを決定しました。具体的には次のとおりです。
・トレーナーからの知識伝達:「OnDemand」解説動画の視聴
・受講生の理解度の評価:「Exam」章ごとの確認テスト
・集合研修でのアウトプットと理解定着:「Live」ケーススタディによる事例の疑似体験と対応力強化
それぞれについて詳しく解説します。
「知識伝達」を目的として、解説動画を視聴する「OnDemand」コースを用意しました。従来2日間にて提供していた座学形式のトレーニングを約5時間の動画にまとめました。学習者の負担を軽減し、スキマ時間を活用した学びを促すべく、1本あたりの視聴時間は7分以内の細切れコンテンツとして提供することを決定しました。
また、「理解度の評価」を目的として、各章の理解度を確認出来る「Exam」を用意しました。学習の定着度を可視化することで、学習者へ知識の深化や定着を促すことが目的です。また、プロジェクトスポンサーに対してチームの課題を可視化し、対策を検討してもらうためのレポート作成に活用できることを期待しています。
そして、実務での応用を意識した、「Live」コースを用意しました。その内容は、「ケースメソッド研修」です。OnDemandコースにて学んだ分析用のフレームワークを実際の仕事で使えるまでに昇華させることを目的に、メンバー間の討議を中心とした講義を構成しました。
コアメンバーの選出で課題とニーズを正確に把握する一連の学習プロジェクトでは、プロジェクトスポンサーと実際の受講生からの期待を適切にマネジメントする必要があります。本来、そのためのニーズ分析は、受講生と対話し観察することが有効です。しかしながら、タイトなスケジュールにおいてこれら情報を聴取することは困難でした。そこで頼りとなったのが、受講生と講師との橋渡し役を担う、「コアメンバー」です。
集合研修となるLiveコースについては、円滑で実践的なものとするため、トレーナーからのリクエストにより受講生を3つのグループに分けることを決定しました。その上で、Liveコースのグループメンバー、教育プロジェクトのコアメンバーについては受講生の特性を理解しているプロジェクトスポンサーが決定しています。
コアメンバーの存在は、代表値としてのニーズ聞き取り分析や、一連の学習プロジェクトがトップダウンによる「やらされている」ものではなく、「自分のために」行われていると印象づける効果などを得ることができました。
実際にコアメンバーに担っていただいた役割について次のとおり紹介します。
・講義 実施前アンケートの聴取
・講義 実施後アンケートの聴取
・学習カリキュラムの企画会議参加
・受講手続きに関するグループへの周知
・受講進捗の管理
・コンテンツの品質チェック
図.講師・コアメンバー・受講生の関係図
受講生から選出したコアメンバーが講師と受講生の橋渡し役を担う
このようにコアメンバーは、多岐にわたる役割を担っています。
コアメンバーとトレーナーとのコミュニケーション、受講生のLiveコースを含め、すべてオンライン(チャット、バーチャルミーティング)のみで行われました。
多様な環境での働き方を実現する上で、オンラインを中心としたやりとりは標準となりました。
第1回の連載はこちらで以上です。
続きは【第2回 トレーニング環境を短期間で実装】をご覧ください。
【連載一覧】実録 社内向けに事業部門が考えるべきセキュリティトレーニングをやってみた
林 憲明
トレンドマイクロ株式会社
サイバーセキュリティ・イノベーション研究所
セキュリティナレッジ&エデュケーション・センター
セキュリティナレッジトレーニンググループ プリンシパルセキュリティアナリスト
2002年にトレンドマイクロ株式会社に入社。サイバー犯罪対策、特にオンライン詐欺を専門とした調査・研究活動等を担当。これまでに国内専門のウイルス解析機関や、フォワードルッキングスレットリサーチを歴任。2021年より新設された「サイバーセキュリティ・イノベーション研究所」へ参画、現職に至る。様々な対象に対するセキュリティ教育も担当。サイバーセキュリティに関して多くのIT関連出版物、オンラインメディアに寄稿。また、Anti-Phishing Working Group等の国際会議にてセキュリティ問題に関する研究発表も行っている。
・TM-SIRT(Trend Micro Security Incident Response Team)チーム技術統括責任者
・日本ネットワークセキュリティ協会(JNSA)教育部会メンバー
・高知工業高等専門学校 サイバーセキュリティ実務家教員(副業先生)
・フィッシング対策協議会 運営委員
・警察庁 「サイバーセキュリティ政策会議」 委員
・デジタル・フォレンジック研究会 DF 資格認定 WG メンバー
Security GO新着記事
PCI DSSとは? クレジット産業向けのデータセキュリティ基準を解説
(2024年10月11日)
委託先へのサイバー攻撃、どう防ぐ
(2024年10月9日)
能動的サイバー防御とは?日本でも必要性が高まる理由を解説
(2024年10月9日)