ウチダインフォメーションテクノロジー株式会社
経営管理部 経営管理課 課長 小泉氏(現在は株式会社内田洋行勤務)
経営管理部 経営管理課 畑氏
ITサービスと内田洋行グループを中心としたITアウトソーシングという大きな2つの事業を抱える同社。常に進化しつづける時代の流れにあわせ、常に最適なITソリューションをお客様に提供している。中でも、日々変わり続ける情報セキュリティの知識を取得することは、会社としても大きなテーマである。そのために採用したツールが「サイボウズ デヂエ」である。ここでは同社の「サイボウズ デヂエ」を利用した情報セキュリティ向上の取り組みについて紹介する。
ヒヤリ・ハット事例の公開でインシデント管理
経営管理課では、数年前から社内の情報セキュリティの向上への取り組みを開始してきた。初めに着手したのが情報セキュリティにおけるインシデント管理である。うっかり会社のパソコンを持ち出してしまう書庫の施錠を忘れてしまうなど、いわゆるヒヤリ・ハット事例を登録することで、社内へのフィードバックおよび活用を想定していたためだ。その際に導入されたのが「サイボウズ デヂエ」であった。「サイボウズ ガルーン」のサポートを行う別部署で「サイボウズ デヂエ」を利用していたこともあり、導入はスムーズに行われた。
ところが運用を開始してみるとヒヤリ・ハット事例が実際にはそんなに発生するわけではない。情報セキュリティを扱う同課としては喜ばしい事態であったが、同時にライブラリが活用されないという課題にもぶつかった。
経営管理課 課長 小泉氏(取材当時)
講義形式のセキュリティ研修からアンケート形式の導入まで
同じ時期に経営管理課が行っていた取り組みとして、半年に一度程度行っていた情報セキュリティ研修がある。全社員に対して講義形式で行っていたものだ。しかしこれでは、社員のスケジュール、会議室の予約などタイミングがなかなか合わず、調整だけでもかなりの時間を取られていたという。さらに半年に一度という頻度では、社員の情報セキュリティに対する意識が向上したとは言い難く、その効果も見えづらかったそうだ。「教育されている」という形式についても、社員からの抵抗があったのだという。
そこで同課ではアンケート形式で社員に参加してもらう事を検討しはじめた。いつでも参加できるように講義形式にはせず、各社員の都合のよい時間に参加できるようにオンライン形式にしたかったのだという。 とはいえ専用のEラーニングシステムを導入するには膨大な費用がかかる。そこで当初、インシデント管理のために導入された「サイボウズ デヂエ」での運用を思いついたそうだ。
正解率より参加率で情報セキュリティへの意識向上
アンケート形式の情報セキュリティテストは、毎月決まったタイムスケジュールで実行されている。別途運用しているグループウェアで毎月1日にテスト開始の掲示、回答締め切りは毎月20日、月末までに回答を集計し、グループウェアの掲示板で結果発表、といった具合だ。
テストの内容は、数問程度で時間的な負担をかけないように設定されている。
「MAXでも15分程度に抑えるように設定しています」(畑氏)
また掲示板で結果発表を行う際も、ただ数値を並べるだけでなく、陥りやすいポイントや模範解答の掲示、解説などを分かりやすく取り入れて、回答者がただ読むだけでなく、興味をもってそれが知識となって蓄積されていくような工夫が随所に取り入れられている。そしてこういった運営スタッフの地道な努力が、実際の効果を生み出しているという。
もちろん、テストである以上、正解・不正解の掲示は不可欠だ。しかし課題となるのは正解率ではない。小泉氏はこう語る。
「1回1回のテストにおける正解・不正解は問題ではないんです。テストに参加することで情報セキュリティに対する意識を高めてもらうことが重要だと感じています」(小泉氏)
実際にテストへの参加率は回を重ねるごとに高まっているという。最近数カ月は80%を超えることも多い。『いつかは100%参加』が同課の目標だ。
さらに、参加者の情報セキュリティに対する意識が向上したのはもちろんの事だが、運営側の意識も変わったそうだ。テストに回答してもらう際に、単に項目を選択してもらうだけでなく、その理由も「デヂエ」に記入してもらうようにしたが、それが欠かせないという。
「例えば誤った回答をした場合でも、なぜそれを選択したのか、背景が理解できるようになったんですよね。背景が理解できると、新たな課題が生まれ、次期の情報セキュリティ対策に組み込みやすくなります」(畑氏)
経営管理課 畑氏
「デヂエ」が生み出した意外な効果
もう一つ、情報セキュリティテストを実施することで、当初予想していなかった意外な効果が生まれたという。それは「他部署の人とのコミュニケーション」だ。
テスト用の「デヂエ」では、回答者は自分が回答したものしか閲覧できないようにアクセス権が設定されている。つまり運営スタッフと回答者の限られた空間での回答のやり取りになる。これが運営スタッフと回答者の間で意外なコミュニケーションを生み出したそうだ。
「公開された場でのやり取りと違い、運営スタッフと自分だけ、という安心感からか本音でのやり取りが増えました。」(畑氏)
本音での回答を受けることにより、回答者なりの個性が見えたり、密接な会話ができるようになったそうだ。それまで会話もしなかった他部署の人との個性を交えたコミュニケーションが実現できるようになったのだという。
もちろんいいことばかりではない。「生の声」が直接届くということはクレームを受けることもあるということだ。しかしクレームもコミュニケーションの一部。
「情報セキュリティテストを通して、経営管理課と他部署のコミュニケーションが生まれたように、他部署の中でもコミュニケーションが発生すればよいなと思っています」(小泉氏)
今後の展望
情報セキュリティに対する意識は一度や二度で簡単に向上するものではない。繰り返し社員に対するアクションを行うことで向上するものだと分かったところで、今後の展望についてお伺いした。
「例えば過去の問題を再度出したり、一度実施したテストの回答への人気投票なんかもやってみたいと考えています」(畑氏)
回答者の参加率の高さもさながら、運営スタッフの回答者に対する情熱と努力が情報セキュリティの向上につながった同社。現状の結果に満足せず、まだまだ工夫を続けることでさらなる意識改革に取り組むその姿勢から、今後も目を離せない。
関連リンク
製品情報
ダウンロード
ウチダインフォメーションテクノロジー株式会社 導入事例 PDF (0.6mb)