どこのCSIRTでも頻繁に従業員へ周知活動を行っていると思います。
従業員に伝えたい情報セキュリティの知識は、実に多いです。脆弱性情報だけだって、頻繁に相当な量の周知を行っているはずです。
よくあるのは、メールに添付ファイルかリンクを掲載して、全従業員に送ります。庶務担当みたいなところへ送って、そこから全員に転送してもらうなんてことも多いのではないでしょうか。
私が思うには、「またか」とか「知っているよ」という感じで、添付ファイルすら開かない従業員が大半なのではないでしょうか。あるいは、開いても数ページのぎっしりの文字を斜め読みしても、心には残りません。
とは言いながらも、私もこれはやらないといけないと考えています。
この内容に起因したインシデントが発生した時に、CSIRTが周知していませんでした、というわけにはいきません。ということで、私はこうした周知を「アリバイ周知」と呼びます。