1万ダウンロード突破のセキュリティ本「セキュリティ 7つの習慣」をMOTEXが作った意義
エムオーテックス(MOTEX)は、2017年2月にセキュリティブック「セキュリティ 7つの習慣・20の事例」の提供を開始した。この本には一般社員がITを使う上で知っておくべきITセキュリティの教訓が詰まっている。なぜ、同社はセキュリティの啓蒙(けいもう)本を制作したのか。企画した経営企画本部 企画広報部の坂本琴音副部長に聞いた。(取材・文:山際貴子)
坂本琴音・エムオーテックス 経営企画本部 企画広報部 副部長
“セキュリティ教育難民”を救え!
エムオーテックスはIT資産管理・情報漏えい対策ツール「LanScopeシリーズ」を開発・販売する会社だ。同社では2014年10月に社内の啓発活動の一環として「No More情報漏えいプロジェクト」を立ち上げ、活動を開始した。
プロジェクト発足当時から世の中で大規模な情報流出事故が頻発しており、被害が深刻化。セキュリティに対する世間の注目が集まっていた。情報流出の原因の1つには内部流出がある。それは「人間のぜい弱性」ともいえるが、その対策が十分な企業は当時は多くはなかった。
人のぜい弱性には「悪意のある持ち出し」「うっかりミス」「認識不足」などがある。しかし、こうした要因はツールでは完全には防げない。エムオーテックスは、こうしたツールだけでは防げない課題に頭を悩ませている顧客が多いことを肌で感じていたという。
「一般的に企業で働いている人は情報漏えいの問題は認識しつつも、どこか他人ごとで、自分は大丈夫だろうと考える人が多い。そうした人たちの意識を変えたいという思いがあった」。坂本副部長はプロジェクト立ち上げの狙いを、こう説明する。
プロジェクトでは、Webサイトを立ち上げ、情報漏えいに関する情報提供を開始した。また、セキュリティのコンサルティング会社社長の徳丸浩氏に外部専門家として監修を依頼した。そして、活動を通して浮かび上がってきたのが「セキュリティ教育難民」の存在だった。
「セキュリティの問題を自分のこととして捉えられていない人たち」。これがセキュリティ教育難民だ。「こうした人たちは企業で少なくない」と坂本副部長は話す。一方で、企業はセキュリティ教育をしているにもかかわらず社員のモラルが低いことに頭を悩ませている。
この課題をどう解決したらよいのか――。坂本副部長は、セキュリティ関心を持たせるために企業で行うセキュリティ教育の教材を提供すればよいのではないかと考えたという。
また、プロジェクトのWebサイトは順調にアクセスを伸ばしていたが、サイトを訪れるのはセキュリティに興味のある人ばかりで、興味のない一般の人には情報が届いていなかったと感じていた。そこで、そうした人に情報を届ける狙いもあったという。
こうして、2015年からセキュリティブックの制作が開始された。
構想から約2年 「本当に必要な知識は何か」を問い続けた
坂本副部長が、教材の制作過程でいちばんこだわったのは「いかに一般の社員に『自分ごと化』してもらえるか」(坂本副部長)だったという。制作では最初の半年で本の構成を検討。そして、内容はプロジェクトの監修を務める徳丸氏や新たに外部専門家として参画したセキュリティのリサーチ・コンサルティング会社社長の岡田良太郎氏と相談しながら、習慣とするべき項目を7つまで絞り込み、関連する事例を洗い出した。
検討を重ね絞り込んで生まれた「7つの習慣」
7つにしたのは「項目が多すぎると習慣にするのは難しい」(同)というのが理由だ。そのため、盛り込みたい内容は多くあったが「一般の人にとって本当に必要な知識は何かという観点で絞り込んだ」(同)という。
絞り込みの過程では、例えば情報セキュリティ分野で必ず登場する「暗号化」はあえて対象から外した。暗号化は情報システム部門では必要な知識だが、一般の社員には必須の知識とはいえないと分かったからだ。一方で、「万が一被害にあったときの対処法」は、セキュリティ教育で扱われることが少なかったが必要な知識として盛り込んだ。こうして繰り返し議論し、ギリギリまで時間をかけた。
レイアウトにもこだわった。文章は詰め込み過ぎないようにできる限りそぎ落とし、イラストを何パターンも試作した。「専門的な資料の多くは分かりやすいようにイラストが添えられていても、その説明が小さな文字でギッシリ書いてある(笑)。リテラシーが高くない人でもすんなりと受け入れてもらえるような仕掛けを作りたかった」(同)という。
本に登場するキャラクターの「茂礼手 太朗(もれてたろう)」と「布施木 ます子(ふせぎますこ)」
本に登場するキャラクターも「茂礼手 太朗(もれてたろう)」や「布施木 ます子(ふせぎますこ)」というネーミングで親しみを持ってもらえるようにした。紹介する事例を単なる説明ではなくQ&A方式にしたのも、読者に考えさせ「自分ごと化」してもらうためだ。こうした工夫をこらしながら質も追求したセキュリティブックは、構想から約2年の時間をかけて「セキュリティ 7つの習慣・20の事例」というタイトルで完成した。
セキュリティ 7つの習慣・20の事例
想定外の読者層の広がり
セキュリティブックは書籍とPDF版で提供している。書籍はエムオーテックスのWebサイトで有料販売しているが、PDF版は誰でも無料でダウンロードできる。PDF版は完全なフリーダウンロードだ。入手するために氏名、勤務先などの情報を入力する必要はない。これもセキュリティブックをダウンロードする敷居を限りなく低くするためだ。
本は文字数を少なくし、ユニークな分かりやすいイラストでセキュリティの要点を解説
「PDF版の無料化については、コストの面でかなり悩んだ。でも、情報漏えいの課題を解決するには、できるだけ多くの人に知識を身に付けてもらわなければいけない。この原点に立ち返り、最終的には無料で提供することで決着した」と坂本副部長は無料提供の理由を説明する。ほかにも企業内でセキュリティ教育に使える講師用の資料や確認テスト用の資料も用意した。
セキュリティブックは手軽に利用できる工夫が奏功し、想定以上に読者層が広がった。「当初は企業内での教育コンテンツとしての利用を想定していた」(坂本副部長)が、教育コンテンツとして利用したい企業だけでなく、セキュリティを子どもに学ばせたい親やセキュリティリテラシーを向上したい高齢者などからも問い合わせがあった。
セキュリティブックのターゲット層には情シスも含まれている。エムオーテックスでは初めて情シス業務を担当する人や情シス経験が浅い人を見込んでいたが、ふたを開けてみると「セキュリティ教育に課題がある」と感じているベテランや管理職からの問い合わせもあったという。
坂本部長はPDFのダウンロード数について開始1年で1万件程度とみていた。しかし、利用者の広がりによって、提供開始から3か月(2017年5月末時点)で1万6000件を突破した。また、現時点ではWebサイトのみの書籍販売も全国の書店からの問い合わせも相次いでいる。
今後、同社では7つの習慣をポスターにして無料配布をする予定だ。「セキュリティ教育の難点は年に数回しか実施しないため、時間がたつと忘れてしまう。ポスターにすれば毎日、目にする場所に貼っておくだけで、知識を定着させる効果がある」と坂本副部長は説明する。
セキュリティブックは、続編や多言語化など、読者からのリクエストが殺到しているという。「今後もさまざまな形で、この本を広める活動を続け、セキュリティのリテラシー向上に貢献したい」と坂本副部長は力強く語る。社会全体のセキュリティリテラシーの向上に向けたエムオーテックスの取り組みはこれからも続く。
<取材後記>
坂本副部長に情報システム部門のセキュリティ対策について聞くと「ランサムウェアなどの影響もあって、セキュリティへの要求が以前より増大し、情報システム部門の負担が重くなっている一方で、情シスが携わるセキュリティ教育がルーティン化して“自分ごと化”にさせる取り組みが不足している面があるのでは」との答えが返ってきました。
また、セキュリティを確保するため、むやみに禁止事項を増やすことにも警鐘を鳴らしていて「ツールで追跡可能な状態にする、社員ひとりひとりのモラルを向上させる。この“抑止”と“モラル向上”の両輪でセキュリティを高め、それでも防げないものを禁止事項とすべき」といいます。もちろん、こうした指摘がすべてではありませんが、情シスの人にとってはセキュリティ対策で1つの指針になると感じました。
■関連リンク
「セキュリティ 7つの習慣・20の事例」