日記・コラム・つぶやき

2011年6月 8日 (水)

実践教育の重要性

今日は、JNSAのイベントで登壇し、セキュリティ教育の話をしてきます。今、取り組んでいること、そしてこれから取り組んでいくことをお話しします。特に、今回は知識教育ではなく、実践教育が重要であり、それをどう実現するのか、そのための調査研究や実証実験の必要性、というようなところを中心にする予定です。

高度人材育成では、実践教育が必須です。
教育は、技術や理論を教えることが最終目標であってはならないと思っています。それらを何かの目的に合わせて使わえるようにすること、それが最終目標であるべきです。技術や理論は、何かをするための手段に過ぎないからです。

実践教育では、講師が自己の経験をもとに経験させながら教えなければなりません。それができる人、やろうという人が極めて少ない、というのが現状です。OJTでそれを実現しようとしている組織も多いのですが、実際には実践教育になってないことが多いのです。高度人材育成とか言ってる人たちは、まずこれを解決しないといけないと思っています。

| | コメント (0) | トラックバック (0)

2011年5月30日 (月)

「後進の育成」の場と機会

先週開催された「第15回 サイバー犯罪に関する白浜シンポジウム」と併催で、「第6回 情報危機管理コンテスト」が行われました。

私は残念ながら白浜には行けなかったので、東京からUstreamで見ておりました。

【情報危機管理コンテスト結果】
優勝(経済産業大臣賞): 同志社大学
準優勝: 情報セキュリティ大学院大学
顧客満足賞: 信州大学
技能賞: 関西大学
新人賞: HAL東京

参加された学生の皆様、スタッフの皆様、お疲れさまでした。

このようにチャレンジできる場や機会があるかないか、これは大きな違いですね。
それがないのに、高度人材育成などできるわけがありません。
その場と機会は、先輩たちが作ってあげなければなりません。

このようなコンテストは目標を持って実戦形式でチャレンジし学べる、これがまさに「後進の育成」の有効な方法だと思います。
そして、「後進の育成」ができれば、人材を育成する人材の育成にもつながるのです。

情報危機管理コンテストも来年以降ももっと盛り上がってほしいと思いますし、同様の場と機会がもっと増えることを切に願います。

| | コメント (0) | トラックバック (0)

2011年5月27日 (金)

「想定外」とは何を指すのか

日経ITpro「ソニー、“想定内”の攻撃を防げず」からです。

いまだに多くの謎を残すこの事件。最大の問題は「既知の脆弱性」があったにも関わらず、結果として放置していたということです。
今回も「非常に高度な攻撃」とか、「想定外」という言葉が使われましたが、専門家ならずともそう受け取ってない人がほとんどなわけです。

この件に限らず、この「想定外」という言葉は「つまり、やってませんでした」という時に都合のいい便利な言い訳などとして(意識的または無意識に)使われている気がします。「このような事象が発生することを想定するのが、極めて困難だった」という意味以外に、

・想定していなかったことにしたい
・(スキル不足、管理不備等で)想定できなかった
・意図的に想定しようとしなかった
・想定の範囲から意図的にはずした
・そんなことを想定とした仕様・設計、運用ではなかった

など、いろんなケースがあり、それをすべて「想定外」と言っているような気がします。(今回は、どの「想定外」かはわかりませんが)
しかし、どのような場合でこの言葉を使おうが、事実は変えられませんし、免責にもなりません。

「想定外」という言葉は、いいかげん使うのをやめませんか。
特に、専門家は(自覚や誇りがあるのなら)使っちゃいけない。そう思います。

| | コメント (2) | トラックバック (0)

2011年5月18日 (水)

なぜ「後進の育成をするのか」・その2

今回は、前回から、間が空きましたが、書き損ねたことを・・・。

前回は、P・ドラッカーの言葉ばかりになってしまったので、今回は私が好きな別の「後進の育成」に関する名言について書いてみます。

元・楽天監督の野村克也さんなどが座右の銘としている言葉に「三流は金を残す、 二流は名を残す、 一流は人を残す」というものがあります。(残念ながら、もともとの出典がわかりません)

また、教育学者ウィリアム・ウォード氏は、「平凡な教師は、言って聞かせる。よい教師は、説明する。優秀な教師は、やってみせる。しかし、最高の教師は、(こどもの)心に火をつける」と言っています。

どちらも、「後進の育成」において重要なことを言い表している名言だと思っています。
「言って聞かせる」「説明する」ではなく、「人を残す」ということ。
私は、いつもそれを肝に銘じ目標としています。

| | コメント (0) | トラックバック (0)

2011年5月16日 (月)

なぜ「後進の育成」をするのか

これは私がよく質問を受けることであり、このブログでも検索キーワードの上位にある言葉です。

なぜするのか、という動機については、「自己実現」と「社会や組織に対する貢献」の2つの意欲だと思っています。

まず、「自己実現」については「人に教えることほど、勉強になることはない。人の成長の助けとなろうとすることほど自らの成長になることはない」というドラッカーの名言に言い表されていると思います。
そして、「社会や組織に対する貢献」については、「『(売上や利益など)直接的な貢献』『(イメージやブランドなど)間接的な貢献』『人材の育成』」であると、やはりドラッカーが言っています。

私が「後進の育成」をするのは、このような理由からでもありますが、最大の理由は別にあります。
最大の理由は、「この仕事が好きだから」です。

<参考記事・このブログ>
・プロフェッショナル的「後進の育成」

| | コメント (0) | トラックバック (0)

2011年4月13日 (水)

「怪しいサイトに注意」というよりも

今日は短めに書きます。

米国国土安全保障省(DHS)のサイバーセキュリティ啓発活動は、"Stop, Think, Connect"という標語的なもので行われているようです。
「止まって、考えて、そしてつなげ」ということです。
日本では、よく「怪しいサイトに注意」という啓発活動や教育が行われます。
しかし、これではユーザー側がすぐに行動に結びつけにくくなっています。
第一、怪しいサイトとは何なのか、それがわかりません。それを教育するのも大変です。

この単純な"Stop, Think, Connect"のほうが、人間行動学的にも理にかなっている気がします。
(信号を渡るときの「右見て、左見て、また右見て、渡れ」と同じですね)
これからのサイバーセキュリティ啓発活動や教育もこのようなやり方にしていくべきだと思いました。

| | コメント (0) | トラックバック (0)

2011年3月22日 (火)

震災関連ITキーワード

@ITの「震災関連ITエンジニア向け参考記事一覧」を見てみました。

その、キーワードを見てみると、電源管理、PCリモート操作、バックアップ/復元、災害復旧、事業継続/BCP、リスクマネジメント、メンタルヘルス、データセンター、クラウド/SaaS。

さすがに、「個人情報保護」なんてないですよね。
現在、実施している情報セキュリティ対策とかけ離れているような組織も多いのではないでしょうか。
機密性・防止偏重の情報セキュリティ対策から、可用性・対応重視の情報セキュリティ対策へ、変わっていかなければなりませんね。

ちなみに、NISTSP800シリーズでは「可用性は、組織におけるセキュリティ上の最重要目標とされることが多い」とされています。

| | コメント (0) | トラックバック (0)

2011年3月18日 (金)

今、情報セキュリティの専門家に求められる行動

今日も震災で感じたことを書いてみたいと思います。

今、情報セキュリティの専門家に求められる行動とは、どんなものなのか。
それは、以下のような倫理のガイドラインや規約から知ることができます。

倫理とインターネット – RFC 1087

インターネットのアクセスと利用はすべてのユーザーに共通の権利であり、そのことを意識して利用しなければならない

以下に挙げる行為は、非倫理的かつ許容できない
・インターネットの資源への認可されていないアクセスを得ようとすること
・インターネットの意図された利用を混乱させること
・そのような活動を通じて資源(人、能力およびコンピュータ)を無駄にすること
・コンピュータベースの情報のインテグリティ(完全性)を破壊すること
・ユーザーのプライバシーを侵すこと

●(ISC)2倫理規約(Codes of Ethics)

国家の安全性を高め、個人に対する責務および相互の義務を果たすには、最高レベルの倫理行動規範に従う必要がある
よって、本規約の厳密な遵守は認証(CISSPのこと)の条件である

1.社会、国家、およびインフラを保護する
2.法律に違わず、公正かつ誠実に責任を持って行動する
3.十分かつ適切なサービスをプリンシパル(当事者)に提供する
4.専門知識を高め、維持する

社会、国家、およびインフラを保護を第一とし、どんな状況においても、前向きかつ倫理的に、公正かつ誠実に責任を持って自分の役割を全うする。事実(そのためには、情報を識別できなければならない)をもとに、判断と行動し、必要かつ十分なサービスを提供できるように努める。それが情報セキュリティの専門家に求められる行動だということです。今、私はそれを改めて肝に銘じて、判断や行動をしていこうと思っています。

| | コメント (6) | トラックバック (0)

2011年3月17日 (木)

情報セキュリティで優先されること

震災の影響等で、久しぶりの更新となりました。
私は地震発生時に福島県にいたために、少なからず影響を受けました。
しばらくは、ここではこの震災から考えたことを中心に書いていきたいと思います。

今回のような災害が発生すると、事業継続が重要であることがあらためて実感されました。
しかし、事業の継続性よりも重視されることがあります。
それは、まず人命の安全の確保、次に損害・影響の極小化です。
何より、この2つが優先されなければなりません。
これは、他の業務でも情報セキュリティでも全く変わりません。

そのためには、何を知り、何ができなければならないか、従来の情報セキュリティの教育ではほとんど示されていないと思います。
今後、情報セキュリティの業務をする者も、このようなことをもっと学習する必要があると思います。

| | コメント (0) | トラックバック (0)

2011年2月24日 (木)

人材育成における課題と悩み

2011年1月27日(木)に開催された「CompTIA人材育成サミット2011」の開催報告からです。

このイベントでは、最後のセッションで受講者の皆様参加による「グループディスカッション」が行われました。
私は、そのコーディネーターを務めさせていただきました。

時間の関係で、2つのテーマだけになりましたが、かなり活発なディスカッションが展開されていました。
そこで出てきた主なコメントは、以下の通り。

1.人材育成における課題、悩み

◆ 現場とトップとの人材に対する要件が不一致/コミットメントが得られない
◆ 制度を作る前に、経営層にコミットされたロードマップと仕掛けを作るべき
◆ 頻繁な配置転換などのためテクニカルスキル育成の前に動機付けとモチベーションをアップさせる必要がある
◆ 以前に比べて、モチベーションの低い人材が多くなった
◆ 研修が場当たり的になってしまい、パフォーマンスに結びつくまで研修のデザインをすることが難しい。
◆  「実践」につながる育成が難しい。「わかるからできる」ように育成することが難しい。
◆ 新入社員の考え方が以前から変化をしてきており、そのギャップを埋めることが難しい。
◆ 1つの分野に特化した人材を育成することはできるが、「マルチ」かつ「ハイレベル」な人材の輩出が難しい
◆ エンジニアが忙しくて、トレーニングを受けるという文化を根づかせることができない

2.人材育成重要ポイント/資格の位置づけ

◆ 「実務」と「資格」をいかにスムーズにマッチングさせられるかが重要なポイント
◆ 単なる技術力だけではなく、2・3次元方向での人材育成モデルが必要であり、その中でうまく認定資格を活用できればよいのではと思う
◆  成長のものさしとして資格は必要 / 顧客を含めた外部に対して専門性を証明するため資格は必要
◆ 知識の底上げとして資格の活用を検討している。社内での勉強会等の開催により、全員で取り組んでいるという一体感を作り、脱落者が出ないようにしたい
◆ 資格を取得することで何が生まれるかということを明確化していかないと資格取得の意味がない
◆ キャリアパスモデルをきちんと作成しなくては、資格を取得させるにも取得者のモチベーションを上げることができない
◆ 資格を取得することが、どんなキャリアパスにつながり、目指す人物像に近づけるかを明確にすることが人材育成の重要なポイント
◆ 資格を取得することは、他社との差別化などの観点から重要ではあるが、費用がかかる
◆ 社内/社外の資格を含め、さらなる発展に結び付けられる「評価」が必要で、取得者自身のスキル向上に結びついている実感を伴った評価が必要である
◆ スキルを身に付けた人に社内研修講師をさせることにより、さらにスキルを自身のものにすることができる
◆ 現場とトップとの間に共通の評価基準として資格を示した。合否に関わらず、何が理解できていて何が理解できていないのかを誰が見てもわかるようにする。

どこも課題や悩みを抱えていらっしゃいますし、それがかなり類似しているんですよね。
その解決のためにも、これらを共有し、今後のこのような機会を設定したいな、と思いました。

<参考URL>
CompTIA人材育成サミット2011 CompTIA日本支局活動報告 / グループディスカッション

| | コメント (0) | トラックバック (0)

より以前の記事一覧