セキュリティアウェアネス トレーニングプラットフォーム「KnowBe4」
「社員一人ひとり」に
”ヒューマンファイアウォール”を根付かせるための
セキュリティアウェアネス トレーニング プラットフォームとは
-
お知らせ
-
セミナー
-
記事掲載
-
お知らせ
契約者ページ内に「KnowBe4社の推奨教育コンテンツ」最新版公開しました
-
セミナー
マイナビ社主催「TECH+ フォーラム - セキュリティ 2024 Sep.」にて講演いたします。
オンライン形式:2024年 9月 17日から9月19日まで -
イベント
IT協会主催「第4回IT協会 Digital Days2024」にて講演いたします。
オンラインアーカイブ配信 :2024年8月15日から9月17日まで
セキュリティアウェアネス紹介動画
「セキュリティアウェアネス」とは
企業の従業員がセキュリティで心得ておくべきことは何でしょう?
いまサイバー攻撃者が狙うのは「人」です。 インフラやアプリケーションのセキュリティ対策が高度化しているため、人のちょっとした隙や不注意を狙うのです。
感染症対策で例えてみましょう。医療の専門家でなければ、一般の生活者がウィルスの種類や薬の成分を詳しく知る必要はありません。それよりも、手洗い、マスク、密回避がどのような効果をもたらすのかを理解し、基本の習慣を徹底することが大切です。
自宅を思い浮かべてみてください。どんなに頑丈な家に住んでいても、鍵を閉め忘れてしまったら台無しです。住人は外出時に鍵をかけること、鍵を見知らぬ他人に渡さないことが基本の習慣です。加えて、どんな人が信用できて、どんな人が不審かは普段から意識することで感覚を研ぎ澄ませていくことができます。
企業のセキュリティ対策もこうした基本の習慣と意識が重要になります。 守るべきものには鍵をかけ、不審者には鍵を渡さないこと。 これをオフィスで実践するなら、具体的に何をすることになるのかを学ぶ 必要があります。
何か起きてからでは手遅れです。
セキュリティに関する意識、「セキュリティアウェアネス」を高めていく必要があります。
では、実際にどのような攻撃や被害があるのでしょうか。
最近の攻撃傾向や代表例を挙げて、説明いたします。
「人の脆弱性」を狙うサイバー攻撃が増加、金銭被害も甚大に
もはやセキュリティ製品では
守り切れないような被害が
サイバー攻撃者は常に新たな攻撃手法を模索し、有効と思われる攻撃を強化、進化させていきます。しかも、最近ではサイバー攻撃者の組織化が進んでおり、より効率的なサイバー攻撃の“開発”に取り組んでいます。国家が支援するサイバー攻撃者グループもあり、潤沢な予算による高度なサイバー攻撃も行われています。
このような状況の中で急激に攻撃、被害ともに急増しているのが、騙したり、なりすましたりという“人の脆弱性”を狙うサイバー攻撃です。主にメールが使用され、実在する組織や人物を騙る上にマルウェアを使用しないものが多いので、従来のセキュリティ対策をすり抜けてしまいます。
新型コロナウイルスに便乗し、在宅を狙った詐欺メールの増加
在宅で緩む、サイバー攻撃への
対応力
昨今は、新型コロナウイルスの感染拡大に便乗した悪質な標的型メールや、在宅環境を狙った悪質なサイバー攻撃も確認され、一般財団法人 日本サイバー犯罪対策センターや厚生労働省からも注意喚起が出されています。
在宅環境特有の周囲に直ぐ相談できずに開いてしまう不審メールにご注意願います。
国立感染症研究所・自治体・ネット通販大手等を装う詐欺メールが確認されており、10万円給付金等の対応でも今後増加予想もあります。
今求められている事は?
▶ 直ぐに解決策を見たい方はこちらをクリック
「情報セキュリティ10大脅威 2021 (組織)」
引用:IPA(情報セキュリティ10大脅威2021)
1位ランサムウェアによる被害
ランサムウェアとはウイルスの一種で、PCやサーバー、スマートフォンがこのウイルスに感染すると、保存されているデータが暗号化されて利用できなくなったり、画面がロックされて端末が利用できなくなったりする。そしてそれを復旧することと引き換えに金銭を要求される等の被害が発生する。また、データの暴露を行うと脅迫され、金銭の支払い有無にかかわらず、データが暴露されてしまったケースが近年発生している。
※引用:IPA(情報セキュリティ10大脅威2021)より
2位標的型攻撃による機密情報の窃取
企業や民間団体そして官公庁等、特定の組織から機密情報等を窃取することを目的とした標的型攻撃が継続して発生している。攻撃者は新型コロナウイルスの感染拡大による社会の変化や、それに伴うテレワークへの移行という過渡期に便乗し、状況に応じた巧みな手口で金銭や機密情報等を窃取する。
※引用:IPA(情報セキュリティ10大脅威2021)より
5位ビジネスメール詐欺による金銭被害
ビジネスメール詐欺(Business E-mail Compromise:BEC)は、巧妙な騙しの手口を駆使した偽のメールを組織・企業に送り付け、従業員を騙して送金取引に関わる資金を詐取する等の金銭被害をもたらすサイバー攻撃である。2020年は新型コロナウイルス感染症(COVID-19)に関する内容が含まれたビジネスメール詐欺が確認されている。
※引用:IPA(情報セキュリティ10大脅威2021)より
6位内部不正による情報漏えい
組織に勤務する従業員や元従業員等の組織関係者による機密情報の持ち出しや悪用等の不正行為が発生している。また、組織内における情報管理のルールを守らずに情報を持ち出し、紛失、情報漏えいにつながるケースも散見される。組織関係者による不正行為は、組織の社会的信用の失墜、損害賠償による経済的損失により、組織に多大な損害を与える。
※引用:IPA(情報セキュリティ10大脅威2021)より
9位不注意による情報漏えい
組織において、情報管理体制の不備や情報リテラシーの不足等が原因となり、個人情報や機密情報を漏えいさせてしまう事例が2020年も引き続き多く見られた。特にテレワークの導入等で働く環境が変化している今、状況に応じた対策が求められる。
※引用:IPA(情報セキュリティ10大脅威2021)より
セキュリティアウェアネスの向上とセキュリティカルチャーの醸成の必要性
セキュリティ志向の文化が根付いていないため、
従業員が好奇心や無気力な衝動になる
フィッシング詐欺の餌食になる可能性が。
2019年、フィッシング対策協議会への報告件数
55,787件
フィッシングサイトの稼働が確認されている
金融機関も多く
29機関以上ございます※
※ フィッシング対策協議会ホームページ 2019年12月26日時点の情報
(https://www.antiphishing.jp/news/alert/phishbank_20191226.html)
従来のセキュリティ対策は、ファイアウォールなどで言うところの
ネットワーク層やアプリケーション層など7つのレイヤーで
サイバー攻撃を検知、防御してきました。
しかし、
従来の対策では「人を騙すタイプ」の
サイバー攻撃から守ることはできません。
新たに「人のセキュリティアウェアネス」という
8つ目のレイヤーが必要なのです!
セキュリティ対策における第8層
「ヒューマンファイアウォール」を形成
「人」をファイアウォールにすることにより、
セキュリティ対策製品をすり抜けてきた攻撃を
防御できるようにする
セキュリティアウェアネス層に求められる「2つのポイント」
8つ目のレイヤーであるセキュリティアウェアネス層を効果的に機能させるためには、2つのポイントがあります。 それは「セキュリティ意識レベル」と「セキュリティカルチャー」で、それぞれに7つの要素があります。
セキュリティ意識レベル
セキュリティ意識レベルは、それぞれの要素についてセキュリティを意識する、あるいは正しいセキュリティ知識を身につけること。具体的には以下が挙げられます。
- ●電子メールセキュリティ
- ●IT管理者への報告
- ●インターネット利用
- ●モバイルデバイス
- ●パスワードと認証
- ●セキュリティ意識レベル
- ●ソーシャルメディアの使用
セキュリティカルチャー
「何らかの行動をする際には常にセキュリティを意識する」ということを企業に属する全員が行う。つまり企業文化として根付かせるということです。
- ●態度
- ●行動力(ふるまい)
- ●認知力
- ●コミュニケーション力
- ●コンプライアンス・ポリシー遵守
- ●規則、規範意識力
- ●個人の責任感
セキュリティアウェアネス向上トレーニングの変化
対策の変化と、いま求められる対策
五世代目に至った経緯
に依存
(独自コンテンツ制作または外部委託)
eラーニング受講
ランサムウェア対策
(New School: 定期的、継続的な自動化運用)
- 1:オンラインで全社員を教育(学習と体験を重視、セキュリティを第一のマインド形成にする)
- 2:フィッシング詐欺攻撃、本番さながらの疑似演習体験とテンプレートのカスタマイズ
- 3:訓練メールとセキュリティ教育を連携、自動化(IT管理者の負担を大幅に軽減)
- 4:結果をスコアで数値化(受講者、部署、全社レベル)
- 5:テスト結果に基づく、グループ化と教育プログラムのカスタマイズ化
- 6:フィッシング詐欺ヒット率の可視化と同業他社との比較(ベンチマーク)
- 7:リスク削減効果の測定
なぜ、セキュリティアウェアネス向上トレーニングが求められているのか?
4つの効能が組織を変える
セキュリティを第一のマインドセットに形成する意識改革が急務
日々求められるセキュリティ上の判断に社員ひとりひとりの的確な意志決定を可能にする
ひとりひとりにセキュリティカルチャーを醸成(ヒューマンファイアウォールを形成)
IT管理者へ「報告」できる社員
第5世代のトレーニングプラットフォーム「KnowBe4」とは
充実した教育コンテンツをベースとした戦略
米国のKnowBe4社は、第5世代のトレーニングプラットフォーム「New School」を提供しています。
KnowBe4の由来は「Know Before」、つまり“やられる前に知る”ことです。
8つ目のレイヤーである「人」は騙されやすく、うっかりミスを起こしやすい、実は最も脆弱なレイヤーで、サイバー攻撃者はここを突いてきます。KnowBe4では、こうしたヒューマンエラーの克服に取り組んでいます。
セキュリティ意識向上トレーニングと
フィッシングシミュレーション・分析を組み合わせた「世界最大の統合型プラットフォーム」
- ▶教育コンテンツ:1,100種類以上
- ▶多言語対応 :30ヶ国の言語対応(日本語対応)
- ▶フィッシング詐欺メールテンプレート:4,700種類以上
「KnowBe4」の3つの特長
「セキュリティ意識向上トレーニング」と「フィッシング攻撃のシミュレーション」を
組み合わせた世界最大の統合型社員教育プラットフォーム
従来の社員教育は、eラーニング等を使った社員教育、標的型Mail訓練など、それぞれ別々に実施してました。KnowBe4は、① 社員教育プログラム (TRAIN)、② 模擬攻撃の実施 (PHISH)、③ 分析・効果測定 (ANALYZE)を1つのプラットフォーム上で一元管理し実施致します。これにより今まで把握できなかった「個人」、「部署」、「組織」それぞれのリスクレベルを可視化し、そこから最適な教育プログラムを作成する事ができます。必要な教育の最適化を行い、従業員のセキュリティ意識の向上に寄与します。
▶▶ 詳細は、
「ヒューマンファイアウォールを形成する流れ」へ
従来
KnowBe4 導入後
動画コンテンツも織り交ぜた多彩な教育コンテンツで受講者のモチベーションをUp
KnowBe4では、ビデオ、トレーニング、アセスメント、ゲーム、ニュースレター、ポスター等 多彩なコンテンツが多言語で用意しております。また、お客様で作成された独自コンテンツもKnowBe4を使って配信できるため、柔軟に教育計画を立てられます。
従来
KnowBe4 導入後
年間サブスクリプション・モデルでの提供
教育コンテンツやフィッシング攻撃などのサービスは、期間内であれば無制限で利用可能。
必要な人に必要な教育を継続的に提供可能です。
従来
KnowBe4 導入後
ヒューマンファイアーウォールを形成する流れ
3つを自動化し、効果を測定
定期的に実施することで
被害リスク低減を可視化
ポリシーに基づき、個人、
組織に適切な教育コンテンツを設定
ソリューションの紹介
-
サイバー攻撃疑似体験:
本番さながらの訓練/演習問セキュリティ意識改革、訓練、報告
従業員の訓練
(教育)IT管理者への報告
訓練メール、URLクリック後のランディングページ誘導、是正教育、レッドフラグ(演習問題)、テスト、自動化運用、リスクスコアによる可視化(個人、部署、全組織)、分析レポート、ユーザー登録AD連携、SAML(SSO)認証、USBテスト、Vishing(音声)
● 教育コンテンツ :1,100種類以上
● 多言語対応 :34ヶ国の言語対応(日本語対応)
● フィッシング詐欺メールテンプレート :5,000種類以上 -
インシデントレスポンスの
初動対応を迅速化PhishER(緊急対策室)
不審メールのトリアージ
(優先順位付け)脅威メールの検疫、隔離
報告された各メッセージを3つのカテゴリー: Clean (正常)、Spam (スパム)、Threat (脅威)の1つに分類して、優先順位付けする。
全社内のメールボックスに削除されずに存在している危険なメールを迅速に見付け出し、検疫・隔離する。
● Office 365と連携
● 添付ファイルや悪意あるURLやドメインを解析するためにVirusTotalと連携
● Syslog連携(SplunkやQRadarなどのSIEMとプッシュ型でデータ連携
各ソリューションの詳細につきましては、
別途資料がございますので、お気軽にお問い合わせください
ボタンをクリックするとメーラーが立ち上がりますので、
ご希望のソリューション番号をご記入の上、ご送信ください。
導入効果
KnowBe4の価値とROI
- ● フィッシング詐欺ヒット率(PPP)を数値で可視化するレポート
- ●定期的に実行、12ヶ月後その効果を測定
定期的に実施することで
被害リスク低減を可視化
ポリシーに基づき、個人、組織に
適切な教育コンテンツを設定
127% ROI
※米国フォレスター調査
Forrester TEI: Total Economic Impact
KnowBe4 会社概要
所在地 | (本社)米国フロリダ州クリアーウォーター |
---|---|
設⽴ | 2010年に米国フロリダ州、タンパベイで設立 |
従業員数 | 全世界 501-1,000人 |
顧客数 | 32,000社以上 |
成長 | 27回、四半期連続2ケタ成長 |
CHO |
世界で最も有名なセキュリティスペシャリスト、Kevin Mitnick 2019年度マジッククアドラントで3年連続リーダー |
-
起業家、トップ企業文化
153社中、第3位(2017年) -
Cybersecurity注目企業
500社中、第2位(2018年) -
急成長会社トップ500社中
第96位(2018年) -
フォレスターが選ぶ
WAVEリーダーに
KnowBe4の成長性
ユニコーン企業(※)として全世界から注目
※評価額が10億ドル以上の未上場のスタートアップ企業
27回連続、四半期2ケタ成長。
KnowBe4 本社
KnowBe4のCHO「Kevin Mitnick」とは
世界で最も有名なセキュリティスペシャリスト、
Kevin MitnickがCHO(Chief Hacking Officer)として活躍
“多額な費用をかけてテクノロジーやサービスを購入しているが、ネットワークインフラは依然として昔ながらの巧妙な手口には脆弱のままである。”
— Kevin Mitnick (ケビン・ミトニック)
紹介動画
従業員のセキュリティ教育で困っていませんか?年に一回の教育とメール訓練で本当に社内は安全になっているのでしょうか?
従来のネットワークやシステムへの攻撃とは別に、今狙われている人への攻撃対策として、海外ではセキュリティアウェアネスの必要性が高まっています。
セキュリティアウェアネスって何?という方にわかりやすく解説します。
世界で急成長しているセキュリティ意識向上サービス「KnowBe4」の紹介です。
セキュリティ業界の「Netflix」と称されるKnowBe4のセキュリティ教育動画です。
※「新しい学び方」を提唱するセキュリティ意識向上トレーニングがいかに楽しいものかご確認ください。
作品名:「The Inside Man」外部から忍び寄る内部犯行(日本語吹替予告編)
「The Inside Manシーズン2:外部から忍び寄る内部犯行」KnowBe4社のセキュリティ教育コンテンツ、シーズン2です。映画さながらの教育コンテンツを織り交ぜながら、受講者のモチベーションを上げつつ柔軟な教育プランを計画できます。
各種情報
サービス紹介・ホワイトペーパー
-
セキュリティ「文化」を考える 2024版
企業・組織のICT利用における「人」に着目してリスクを下げる方法を考える。アルテア・セキュリティ・コンサルティング二木真明 氏 執筆
-
Root Causes of Ransomware(ランサムウェアの根本的原因)
KnowBe4社が3か月間にわたり調査したランサムウェアの実態調査結果及び攻撃手法について解説
-
電通総研オリジナル「KnowBe4」カタログ
※クリックすると全ページ確認できます。
導入事例・取材記事
-
社員の「セキュリティ意識」どう上げる? 大成功させる秘密は「6つのステップ」
社員のセキュリティ意識を高めるには…?
-
対サイバー攻撃「最後の砦」、 社員のセキュリティ意識をうまく強化する方法
ツールでは防ぎきれないサイバー攻撃、社員の意識がカギを握る
-
やっぱり理想論?セキュリティ教育で「全社員に対策を徹底させる」ことはできるのか?
従業員へのセキュリティ教育が大事なことはわかっているものの、なかなか社内にセキュリティ文化を浸透させるのは難しい。
みゅーらぼ代表 セキュリティアウェアネスエバンジェリスト 平田様を交えての対談記事です。
ページ数:2ページ(クリックすると前ページ参照可能) -
”心の隙”を突くサイバー攻撃が急増、被害を抑え従業員の「行動を変える」方法は何か?
MS&AD様、KnowBe4様との対談記事です。日本初、セキュリティ教育付きのサイバー保険としてリリースしたMS&AD様が、なぜKnowBe4に着目したか?などコメント頂いております。
ページ数 4ページ(クリックすると全ページご確認可能です。) -
最大の脆弱性「人」をどう改革する︖働き方の変化で問い直されるセキュリティ
※クリックすると全ページ確認できます。
メーカー資料
-
業界別フィッシングベンチマーキングレポート2023
本レポートは、KnowBe4 が毎年実施している業界別にフィッシング詐偽ヒット率(PPP)の調査をまとめたものです。※クリックすると概要を確認できます(資料請求も可能)。
-
「人」の脆弱性をつく攻撃に対応するには?「Human Firewall」を形成する方法【過去セミナー動画公開】
「人」を狙うサイバー脅威とどう戦いますか? 社員一人ひとりにHuman Firewallを根付かせるセキュリティ意識向上トレーニングとは? 実用的なフィッシング演習テンプレートと動画を中心とした意識改革のセキュリティ教育コンテンツのデモを交えてご紹介します。
-
KnowBe4:CEO詐欺防止マニュアル
ますます巧妙化するCEO詐欺にどのように対処すべきをまとめたものです。また、CEO詐欺/BECについての最新の定義、最新の統計データ、発生事例/動向に加え、被害発生時の初動対応についても記述しています
-
今、世界が認めるマーケットリーダーへ
「KnowBe4」についてのメーカーカタログです。
※クリックすると全ページ確認できます。
ビジネスメール詐欺(BEC)
ビジネスメール詐欺(BEC:Business Email Compromise)は、サイバー攻撃者が企業の経営層などになりすまして指示するメールを別の部署に送り、金銭や重要な情報を盗み出す手口です。BECでは、サイバー攻撃者が標的とする企業の経営層などのメールを盗み見し、経理などへ送金指示のメールが送信されたタイミングを見計らって、送信者になりすまして送金先の銀行口座を変更する指示のメールを送ります。この口座が実はサイバー攻撃者の口座というわけです。被害金額が非常に大きく、日本でも航空業界で約3億8千万円の被害が発生しています。
巧妙化するフィッシング詐欺
実在するシステムやサービスを騙り、偽のログイン画面に誘導してIDとパスワードといったログイン情報を盗み出す手法がフィッシング詐欺です。特定の標的になりすましメールを送るBECとは異なり、フィッシング詐欺のメールは不特定多数に送信されます。メールには「利用しているシステムに不正アクセスが発生した」「新たなセキュリティ対策を導入した」などと書かれており、ログインして確認するようにと、偽のログイン画面へのリンクが貼られています。そこでログイン情報を入力してしまうと、サイバー攻撃者に盗まれてしまいます。宅配便の不在配達通知や、商品の購入確認など、冷静さを失わせるような文面も増えています。
マルウェア「Emotet」の手法
2019年に急激に被害が拡大したマルウェア「Emotet」も、人を騙す手法を取り込んでいます。感染すると、被害者のPCにあるメールを盗み出し、その送信先や件名、文面などを次のメールに利用します。メールは不特定多数に送られる「ばらまき型」ですが、実在の企業や人物になりすましているので、添付ファイルを開いてしまいがちです。添付ファイルはマクロを使用したOfficeファイルで、マクロを有効にすることで感染します。感染するマルウェアはさまざまで、ランサムウェアやバンキングマルウェア、マイニングマルウェアなどの感染事例が確認されています。
①社員教育プログラム
(TRAIN)
グローバルに対応したセキュリティ意識向上トレーニング
語対応による「全社レベル」でのセキュリティ文化の醸成
デバイスを問わない、
1,100種類以上の
充実した教育コンテンツが
受講し放題です。
受講者を飽きさせない
映画さながらの
動画もございます。
最新の
サイバー攻撃を
意識した
充実の教育コンテンツを
ご用意しております。
②模擬攻撃の実施
(PHISH)
豊富なテンプレートを活用し、「本番さながらの攻撃」疑似体験(ソーシャルエンジニアリング被害模擬体験)。
社員、部署ごとにレベルに合わせた教育メニューを策定。
Phish Alertボタン(無償提供)を使い、何かあったら報告する文化醸成
※不審メールは、開かない/クリックしないから「報告」へ
本番さながらの
攻撃シュミレーションを体験。
攻撃テンプレートを使って、難易度や対象も柔軟に設定可能。
クリックしてしまった場合も
柔軟に画面を設定可能。
Phish Alertボタン(無償提供)を使い、
「何かあったら報告する」文化醸成
※不審メールは、開かない/リックしないから「報告」へ
③分析・効果測定
(ANALYZE)
是正学習を可能とする効果測定と、きめ細やかなレポーティング
詐欺メールに引っかかった
「フィッシング詐欺ヒット率」
の推移を分析。
柔軟な分析レポート
も表示可能。