25-1. 「プラス・セキュリティ」の実施計画例
セキュリティに詳しくない人に加えて、既にセキュリティを担当している人も、新しい技術を学び、考え方を最新にしていくことが必要です。技術は常に進化しており、過去の対策や古い考え方では、最新のサイバー攻撃に対応することが難しいためです。昨今はAIを使った新しい攻撃手法が増加しており、昔のスキルや知識だけでは十分に対応することは困難です。この章の前半では、「プラス・セキュリティ知識補充講座 カリキュラム例」をもとに、教育・研修の実施内容および実施計画を解説します。
この章の後半ではリスキリングに有効と考えられるカリキュラムを例にして、リスキリングのための研修実施計画の策定について解説します。現在、AIや自動化などの新しい技術の導入が進んでいますが、これによって従来の仕事が変化し、新しいスキルが必要になります。中⻑期でみればAIなどの新技術の普及によって、一部の職業は消滅し、新しい職業が生まれることになるでしょう。そうした変化の中で、個人が市場で競争力を維持するためには、リスキリングを通じて最新の技術や知識を習得し、変化に対応できる能力を高めることが重要です。リスキリングを成功させるためには、チェンジマインド(変革思考)を持つことが非常に重要です。チェンジマインドとは、変化を受け入れ、柔軟に対応する考え方を意味します。リスキリングには新しい知識やスキルを習得するための柔軟な思考が不可欠です。考え方を柔軟に変え、具体的な目標を設定するとともに、信頼できる教材やカリキュラムを選んで、自分にあった学習方法を見つけることが、リスキリング成功の秘訣だと言ってよいでしょう。この章では関係機関が公表しているカリキュラムを参考に、セキュリティに関する学習方法を例示します。
「プラス・セキュリティ知識補充講座 カリキュラム例」の内容を実施するための手順を例示します。
中小企業を対象とし、セキュリティ専門家は社内に存在しない。
単元の目標と、到達レベルを明確にします。(以下の表は、部課⻑級向けの第3単元(投資『サイバーセキュリティとリスク対応』)の場合です)
目標
自部署におけるサイバーセキュリティリスクのマネジメントに必要となる概念と、具体的なアクションについて理解する。
到達レベル
● 部署におけるサイバーセキュリティリスクを特定し、対応の優先順位付けや対処方針の選定を行うとともに、その実現に必要な体制や要員の確保・育成を行えるようになる。
● 担当者や社外ベンダーから提示されるセキュリティ対策案について、組織として妥当性に関する判断を下せるようになる。
(出典) NISC「プラス・セキュリティ知識補充講座 カリキュラム例」をもとに作成
● 専門家の活用
サイバーセキュリティの専門家や、企業向けにトレーニングサービスを提供する企業を活用して学習します。中小企業に対応できる柔軟なサポートを提供するサービスを優先的に検討することが重要です。例えば、企業のセキュリティ状況に応じたカスタマイズされた研修プログラムを依頼したり、専門家によるワークショップを依頼したりすることが効果的です。
● オンライン学習の活用
無料や低価格で利用できるオンライン学習プラットフォームを使って、従業員がセキュリティの基礎を学べるようにします。例えば、セキュリティに関する基礎コースを受講できるオンライン学習サイト(例:マナビDXなど)があります。従業員が自分のペースで学習できるため、業務の合間を利用して学びやすいことがメリットです。
● 内部研修の実施
外部講師を招かず、社内のITリテラシーが高い従業員が中心となり、セキュリティの基本を他の従業員に教える研修を行います。例えば、社内の担当者が「パスワードの強化方法」や「メールのフィッシング対策」といった実践的な内容を教えることで、全体のセキュリティ意識を高められます。社内の状況に即した内容で実施できるため、企業全体でスムーズに学習が進む点が特徴です。
詳細理解のため参考となる文献(参考文献)
受講者によってデジタル・ネットワーク技術、サイバーセキュリティに関する知識に差があると考えられます。以下のような方法によって受講の要否を判断することが大切です。
①
方法の種類 セルフチェックに基づく受講者判断
概要 「◯◯について説明できる」といったチェック項目のリストを提供し、「はい」が一定比率以上の場合は、当該項目の受講を省略できる。
利点(〇)・欠点(×)
◯ 動画に比べると準備コストが少なく済む
× チェック項目が多くなると受講者にとって判断に要する負担が増大する
②
方法の種類 理解度テストによる判定
概要 受講者の理解度を確認する4択問題を出題し、一定以上の得点を得た受講者は当該項目の受講を省略できる。
利点(〇)・欠点(×)
◯ 提示した方法の中で、最も厳密な判定が可能
× カリキュラムの冒頭で「得点が低いので要受講」を示すのは受講意欲を下げる恐れ
③
方法の種類 動画視聴に基づく受講者判断
概要 受講者は次ページに示すシナリオの動画を視聴し、理解度十分(同様の場面で適切な判断が可能)と判断した場合は当該項目の受講を省略できる。
利点(〇)・欠点(×)
◯ 受講者にとっては軽い負担で適切な判断を行うことが可能で利便性に優れる
× 動画教材の作成にコストがかかる
事前の目的設定が重要
④
方法の種類 (判断支援手段を提供しない)
概要 各項目を受講するか否かを受講者による判断に委ねてしまう。
利点(〇)・欠点(×)
◯ 判断用教材の準備が不要
× 基礎知識不十分なまま集合講習に参加する受講者が生じる可能性がある
(出典) NISC「プラス・セキュリティ知識補充講座 カリキュラム例」をもとに作成
そのほか、受講の可否を判断する手段として以下のものが挙げられます。
● 事前アンケートの実施
セキュリティ知識レベルを把握するために、セルフチェック形式のアンケートを実施します。このアンケートでは、日常的に利用されるデジタルツールやセキュリティ用語の理解度を確認します。アンケートの結果をもとに、カリキュラムを受講する対象者を決定します。部門のマネジメント層で、実際にセキュリティ対応に関与する可能性のあるメンバーを中心に選びます。
カリキュラム内容の実施方法を例示します。(以下は、部課⻑級向けの第3単元(投資『サイバーセキュリティとリスク対応』)の場合です)
● オンライン研修の実施
オンデマンド形式で提供される次の事項を学習します。
▶ サイバーセキュリティのリスクマネジメントの特徴(オンデマンド・30分)
▶ 対策における費用と損失の考え方(オンデマンド・30分)
この段階では、サイバー攻撃の基礎やリスク管理の基本概念について学びます。
● 集合講習の実施
集合講習で提供される次の事項を学習します。
▶ リスクマネジメントのケーススタディ(集合講習:30分)
集合形式の講習では、講師が具体的なサイバー攻撃事例を紹介し、効果的なセキュリティ対策を解説します。また、参加者同士でディスカッションを行い、演習を通じて理解を深めます。
● 演習の実施
演習2:自部署リスクとその対応策を洗い出し、リスク管理部門などへ説明(集合講習:60分)
演習では、リスク対応策のシミュレーションを行い、サイバーセキュリティにおける投資の費用対効果を検討します。参加者は自社に最も適したリスク対応策を模索し、チームで発表を行います。
カリキュラム実施後に評価と報告を行います。
● 結果のフィードバック
集合講習後、各部門に対して研修の成果をフィードバックします。各部門が現状のセキュリティ対策を見直し、改善点を明確にします。
● 最終報告書の作成
すべての受講者の意見や研修結果を反映した最終報告書を作成し、経営層に提出します。この報告書は、今後のセキュリティ体制の強化に向けた重要な資料となります。
上記の手順を実施するためのガントチャートを作成することで、進捗状況の管理が容易になります。
ステップ1: カリキュラム目標の確認と調整
タスク 1. カリキュラム目標の確認
サブタスク 1.1 カリキュラム内容の確認
期間 2日
担当者 プロジェクトリーダー
備考 単元の目的と目標を確認
タスク 1. カリキュラム目標の確認
サブタスク 1.2 経営層との初回ミーティング
期間 1日
担当者 プロジェクトリーダー、経営層
備考 経営層との合意形成
タスク 1. カリキュラム目標の確認
サブタスク 1.3 フィードバックの反映
期間 2日
担当者 プロジェクトリーダー
備考 ミーティングの結果を反映
タスク 1. カリキュラム目標の確認
サブタスク 1.4 最終合意の取得
期間 2日
担当者 プロジェクトリーダー
備考 経営層からの最終承認
ステップ2: 外部パートナーの選定
タスク 2. セキュリティベンダーの選定
サブタスク 2.1 セキュリティベンダーリストの作成
期間 3日
担当者 人事部、セキュリティ担当
備考 ベンダー候補をリスト化
タスク 2. セキュリティベンダーの選定
サブタスク 2.2 ベンダーとの初期打ち合わせ
期間 3日
担当者 人事部、セキュリティ担当
備考 各ベンダーに要件を共有
タスク 2. セキュリティベンダーの選定
サブタスク 2.3 ベンダー提案の評価
期間 4日
担当者 人事部、セキュリティ担当、経営層
備考 提案内容の評価と比較
タスク 2. セキュリティベンダーの選定
サブタスク 2.4 ベンダーの選定
期間 2日
担当者 人事部、経営層
備考 最終決定を行い、承認
タスク 2. セキュリティベンダーの選定
サブタスク 2.5 契約の準備と締結
期間 2日
担当者 人事部、法務担当
備考 契約書の準備と締結
ステップ3: 受講者の準備
タスク 3. 事前アンケートの実施
サブタスク 3.1 アンケート内容の設計
期間 2日
担当者 人事部、セキュリティコンサルタント
備考 セルフチェックリストの作成
タスク 3. 事前アンケートの実施
サブタスク 3.2 アンケートの配布
期間 1日
担当者 人事部
備考 受講対象者へ配布
タスク 3. 事前アンケートの実施
サブタスク 3.3 回収と結果の分析
期間 3日
担当者 人事部
備考 アンケート結果を集計し分析
タスク 3. 事前アンケートの実施
サブタスク 3.4 受講者リストの確定
期間 1日
担当者 人事部、セキュリティ担当
備考 受講者リストを最終確定
ステップ4: カリキュラムの実施
タスク 4. オンライン研修の実施
サブタスク 4.1 オンライン教材の準備
期間 4日
担当者 セキュリティコンサルタント
備考 オンデマンド形式の教材準備
タスク 4. オンライン研修の実施
サブタスク 4.2 学習スケジュールの通知
期間 1日
担当者 人事部
備考 受講者にスケジュールを周知
タスク 4. オンライン研修の実施
サブタスク 4.3 受講者の進捗確認
期間 7日
担当者 人事部
備考 受講進捗の確認とフォロー
タスク 4. オンライン研修の実施
サブタスク 4.4 オンライン研修の完了
期間 2日
担当者 受講者、セキュリティコンサルタント
備考 オンライン研修を終了
タスク 5. 集合講習の実施
サブタスク 5.1 講師の手配
期間 2日
担当者 セキュリティコンサルタント
備考 集合講習を担当する講師を確定
タスク 5. 集合講習の実施
サブタスク 5.2 集合講習の準備
期間 3日
担当者 講師、サポートスタッフ
備考 教材、演習の準備
タスク 5. 集合講習の実施
サブタスク 5.3 集合講習の実施
期間 1日
担当者 受講者、講師
備考 集合講習で事例紹介と演習実施
タスク 5. 集合講習の実施
サブタスク 5.4 演習の実施
期間 1日
担当者 受講者、講師
備考 投資効果分析やリスク対応策を検討
ステップ5: 結果の評価と報告
タスク 6. 結果のフィードバックと報告
サブタスク 6.1 フィードバックの整理
期間 3日
担当者 各部門マネージャー
備考 受講者からフィードバックを収集
タスク 6. 結果のフィードバックと報告
サブタスク 6.2 改善提案の作成
期間 3日
担当者 各部門マネージャー
備考 改善提案を作成
タスク 6. 結果のフィードバックと報告
サブタスク 6.3 改善提案の実行計画作成
期間 2日
担当者 各部門マネージャー
備考 提案に基づいたアクションプランを策定
タスク 7. 最終報告書の作成
サブタスク 7.1 報告書の初稿作成
期間 3日
担当者 プロジェクトリーダー
備考 研修結果をもとに報告書を作成
タスク 7. 最終報告書の作成
サブタスク 7.2 報告書のレビュー
期間 2日
担当者 各部門マネージャー、経営層
備考 レビューとフィードバック
タスク 7. 最終報告書の作成
サブタスク 7.3 報告書の最終版作成
期間 2日
担当者 プロジェクトリーダー
備考 最終報告書を経営層に提出
以下の3つのポイントに焦点を当てることで、ガントチャートを活用したプロジェクト管理が効果的に行え、カリキュラム内容のスムーズな実施につながります。
● 進捗確認とスケジュール管理
プロジェクトが計画通りに進んでいるかを定期的に確認し、スケジュールに遅れが生じた場合には迅速に対策を講じます。
● リソースの効率的な活用と調整
限られたリソースを最大限に活用し、必要に応じて適切に調整することで、プロジェクトのスムーズな進行をサポートします。
● リスクの早期特定と対応策の準備
プロジェクトに潜むリスクをあらかじめ特定し、問題が発生する前に対応策を準備しておくことで、予期しないトラブルにも迅速に対応できる体制を整えます。
