サイバーセキュリティ研修は、サイバー攻撃の兆候を見抜き、機密情報を危険にさらさないために必要な知識を従業員に身につけさせるものである。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
「セキュリティにおいて最大の弱点は人間だ」という格言がある。騙されやすく、不注意な従業員を標的にする攻撃者が増えるにつれ、この格言にも真実味が増した。しかし、この脆弱な箇所(人間)を、強固な防御壁に変えることもできる。その際に重要となるのが、セキュリティ研修プログラムだ。
2021年に分析された情報漏えいの82%が、「人的要素」に関連していたという調査がある。近年のサイバー攻撃で最も狙われているのは従業員だ、というのは紛れもない事実だ。サイバー攻撃の兆候を見抜き、機密情報を危険にさらさないよう、従業員に対して教育を施す必要がある。リスクを軽減できる大きなチャンスとなり得るからだ。
セキュリティ研修とは何か
ITあるいはセキュリティの責任者がセキュリティ研修に求めるものは単なる啓蒙ではない。サイバーリスクのある状況を理解し、リスクを軽減するためのベストプラクティスを学び、従業員の行動を変化させるのが研修の目標と言える。従業員が正しい選択をできるよう、幅広い領域と手法を網羅した教育プロセスを構築するのが理想だ。セキュリティ・バイ・デザイン(製品の企画・設計の段階からセキュリティ対策を盛り込む考え方)を企業文化として定着させようとするならば、セキュリティ研修プログラムは重要な取り組みとなるのだ。
なぜセキュリティ研修が必要なのか
どのような研修プログラムであっても、個人のスキルを高め、より望ましい従業員に育成することが目的となる。セキュリティに対する意識を高めるのは、さまざまな役割を担う個人を成長させるだけではなく、セキュリティ侵害のリスクを軽減するのにつながるからだ。
従業員によっては、事業活動のコア業務を担っている場合がある。彼らがハッキングの被害に遭ってしまうと、組織全体の被害に発展しかねない。さらに、その従業員が有する機密情報やITシステムへのアクセス権が奪われることにより、インシデントが与える事業への悪影響は極めて深刻になる。
以下に解説するそれぞれの傾向は、セキュリティ研修の緊急性・必要性を明示している。
パスワード
パスワードの仕組みは、コンピューターの歴史と同じくらい古くから存在する。数年来のセキュリティ専門家の願いもむなしく、パスワードはユーザー認証で最も頻繁に用いられる手法であり続けている。その理由は単純で、ユーザーが使い方を直感的に理解できるからに他ならない。問題となるのは、パスワードは攻撃者にとっても重要な標的となってしまうことだ。パスワードを教えるよう従業員を騙したり、パスワードを推測したりすることができれば、ネットワークへの完全なアクセスを防ぐ手立てはなくなる。
ある推計によると、米国では半数以上の従業員がパスワードを紙にペンで書き留めているという。誤ったパスワード管理は、攻撃者に侵入のチャンスを与えてしまう。従業員が覚えなければならないパスワードの数が増えるにつれ、悪用される危険性も高まる。
ソーシャルエンジニアリング
人間は社交的な生き物である。必然的に、騙される可能性も生じる。人から伝えられたストーリーを信じてしまいたくなる生き物であり、それはソーシャルエンジニアリングが効果を発揮する理由でもある。攻撃者が標的を思いのままに動かすため、なりすましたり、緊急度を煽ったりといった手口が使われる。フィッシングメール、テキストメッセージ(つまり、スミッシング)、電話(ビッシング)、ビジネスメール詐欺(BEC)といった詐欺の手法が代表的だ。
サイバー犯罪市場
今や、攻撃者は複雑で洗練された犯罪ネットワークを組織している。ダークウェブ上のWebサイトを介して、頑健なホスティングサービスからRaaS(ランサムウェア・アズ・ア・サービス)に至るまで、あらゆるデータやサービスが売買されている。そしてその被害額は数兆ドル(数百兆円)に及ぶとも言われている。サイバー犯罪市場の「プロ化」が進むにつれ、攻撃者は投資対効果の高い領域に注力するようになっている。すなわち、企業の従業員や消費者といったユーザーを標的にすることを意味する。
ハイブリッドワーク
自宅でテレワークしている従業員は、フィッシングのリンクをクリックしたり、仕事用の端末を個人利用したりと、リスクの高い行動をとる傾向にあると考えられている。ハイブリッドワークが普及するに従い、最も脆弱な法人ユーザーが、攻撃者にとっての格好の標的となってしまった。言うまでもなく、オフィス環境に比べて、自宅のネットワークやコンピューターが十分に保護されていないからだ。
セキュリティ研修が重要だといえる理由
外部からの攻撃や意図しない情報漏えいといった深刻なセキュリティ侵害は、金銭的損害や信頼性の低下につながる。最近の調査では、深刻なインシデントを起こした企業の20%は、最終的に倒産寸前の状態に追い込まれたとされる。別の調査では、全世界における情報漏えいの平均的なコストは、過去最高の420万ドル(5億7,300万円相当)以上と報じられた。
従業員に関するコストばかりではない。HIPAA(Health Insurance Portability and Accountability Act)、PCI DSS(Payment Card Industry Data Security Standard)、SOX法といった多くの規制では、従業員向けのセキュリティ研修プログラムを実施することが義務付けられている。
セキュリティ研修を効果的に実施するには
ここまで「なぜ」について解説してきたが、「どのように」研修を実施すればよいのだろうか? CISO(Chief Information Security Officer)は通常、企業全体の従業員教育に責任を持つ人事部門と連携することから進めるべきだ。簡単な相談から、より協調的なサポートに至る場合もある。
研修は以下のような項目を網羅するべきだ。
- ソーシャルエンジニアリングとフィッシング、ビッシング、スミッシング
- メールを介した意図しない情報開示
- インターネット利用の保護(安全な検索と、公共Wi-Fiの利用)
- パスワードに関するベストプラクティスと多要素認証
- 安全なリモートワーク、テレワーク
- 内部の脅威を見分ける方法
加えて、研修は以下のようなものであるべきだ、と考えておきたい。
- 楽しさとゲーム要素(不安を煽るメッセージよりも前向きに取り組めるよう考慮)
- 実際の仕事環境に即したシミュレーション演習
- 10~15分程度の短い講義を年間を通して継続的に実施
- 役員、パート、協力会社を含めた、すべての従業員を対象
- 個人のニーズに合わせて研修を調整できるような結果の分析
- 役割に応じたカスタマイズ
研修の実施を決定した後は、適切な研修会社を見つけることが重要だ。幸い、無料のツールを含めて、さまざまな価格帯のサービスを見つけることができるだろう。昨今のサイバー攻撃の状況を考慮すると、何もしないという選択肢はないだろう。