令和４年度中小企業サイバー
セキュリティ対策継続支援事業

「セキュリティは重要だと思っている。基本方針などはIPAのサンプルをもとに作った。でも、次に何をやれば良いのかわからない。」という企業は多いのではないでしょうか？A社では、セキュリティを考える中で、「こんな製品が流行っているらしい」、「無償でこんな教育が受けられるらしい」という情報の中からできることを選んでセキュリティ対策を進めてきました。

初めは製品を入れたり、ルールを作ってみたりと、セキュリティの意識や対策も前に進んでいるように感じていました。実際、従業員もセキュリティの意識が高まり、セキュリティ事故を起こさないようにしようとする行動などもできていたように感じます。初めは良かったのですが、段々と次に何をすればよいのか悩むことも多くなり、従業員の意識も低下しているように担当者は感じていました。
どうすればよいか考えたセキュリティの担当者は、行き当たりばったりで取り組んでいたセキュリティを、PDCAを意識したセキュリティの取り組みへ変革していくことにしました。とはいうものの、長期的なPDCAを考えられるほど担当者のレベルも成熟していなかったため、最初に短期的なPDCAから取り組みました。特に従業員の意識低下という問題を強く感じていたため、まずは教育面から短期のPDCAを回してみることにしました。

従業員の意識はどのようにしたら上がるのか？この問いに対して、答えとなるような教育計画を作成することから始めました。実際の教育では外部から講師を招聘する事で、普段とは違う雰囲気の中で従業員に緊張感を持たせます。また、普段は聞いて終わりのところをグループワークなどを行い、声に出す、他の人の意見を聞くなど、刺激を受ける工夫を行いました。

最後にテストとアンケートを行う事で理解度や満足度の測定も行いました。これらの結果は次の教育計画に反映させていく予定です。そして、外部講師からのフィードバックも受けました。今までは教育をして終わっていたものが、担当者としても次につながる結果を得て終えることができました。

教育のPDCAを行なった事で長期的なPDCAのイメージも付き、今後は他の実行でも同じように取り組んでいく予定とのことです。