こんばんわ!
CNDの勉強をしていきましょう!
今回は「セキュリティ意識向上トレーニング」についてまとめていきます。
前回分等は下記の⇔で見ることができるみたいなので、そちらから確認してみてください!
では、始めていきます♪
トレーニングの目的
従業員は組織の大切な資産であり、攻撃に対する弱点でもあります!
ITリテラシーやセキュリティの意識が低い人が個人情報等を管理するということを想像すると恐ろしいですよね。。
そういう意味でもトレーニングはセキュリティ対策の大切な取り組みとなるのです!
トレーニングによって以下の能力が従業員につくことを望まれています
・脅威からの自分や組織を守る方法を知っている
・セキュリティポリシーの手順に従える
・インシデントの報連相が正しく行える
・データの特性を理解できる
・物理的対策にも意識を向けられる
セキュリティポリシーのトレーニング
セキュリティと考えるとき、どこまで行ってよくて何をしてダメなのか以外と判断が難しいです。。そんな時にポリシーは役に立ちます!
下記にセキュリティポリシーをトレーニングに組み込むことにおける利点を挙げます
・コンプライアンス意識も身につく
・セキュリティポリシーを効果的に実施できる
・ポリシーを強制するのでなく、各従業員が自ら従う
・組織のネットワークセキュリティが高める
物理セキュリティのトレーニング
物理セキュリティもめちゃくちゃ大事ですね!
トレーニングを行うことの利点は下記となります。
・侵害を最小化にする
・ハードウェアの脅威を特定する
・機密データの扱うリスクを評価する
・職場での物理セキュリティを確保する
ソーシャルエンジニアリングのトレーニング
相手を心理的につく攻撃にもトレーニングが必要です!
トレーニングの例は下記で行います。
・なりすまし
・ダンプスター(ゴミ箱漁り)
・フィッシング、添付ファイル
データ分類のトレーニング
どの情報が大事かどうかを知ることも大事です。
一般的に下記のように分類をするようにします!
・最高機密
・秘密
・機密
・制限付き
・公式
・未分類
・許可
・隔離情報
データの重要度を理解した上で、どのように取り扱うべきかについて学んでいくのです!
まとめ
今日の勉強はここまでです。
自論なのですが、企業や国は人だと思ってます!
人がいなきゃ、国も企業も成り立ちません。なので、トレーニングはとても大切なことであると今回学ぶことができました!
ここまで読んでいただきありがとうございました。