対サイバー攻撃「最後の砦」、 社員のセキュリティ意識をうまく強化する方法
サイバー攻撃の高度化・複雑化に伴い、セキュリティ対策ツールも進化を続けている。
しかし、たとえ優れたセキュリティツールを導入したとしても、攻撃者は人の油断や隙を突き、巧妙な手法で組織に侵入を試みる。
いま企業に求められるのは、セキュリティツール導入だけでなく、脅威を防ぐ「最後の砦」となる従業員のセキュリティアウェアネス(Awareness・意識)の向上である。「セキュリティ教育」の重要性は日本でも認識されているが、ただし、「教育=Education」と「自覚・意識=Awareness」は別物となる。
では、セキュリティアウェアネス(意識)を向上させるには、どのような仕組みが必要か。
しかし、たとえ優れたセキュリティツールを導入したとしても、攻撃者は人の油断や隙を突き、巧妙な手法で組織に侵入を試みる。
いま企業に求められるのは、セキュリティツール導入だけでなく、脅威を防ぐ「最後の砦」となる従業員のセキュリティアウェアネス(Awareness・意識)の向上である。「セキュリティ教育」の重要性は日本でも認識されているが、ただし、「教育=Education」と「自覚・意識=Awareness」は別物となる。
では、セキュリティアウェアネス(意識)を向上させるには、どのような仕組みが必要か。
高まるサイバー脅威とセキュリティ教育の実態
世界的な傾向として、サイバー攻撃による被害は増え続けている。サイバー攻撃の手口はますます高度化・複雑化しており、もはや既存のセキュリティ製品では守りきれないケースも増えてきた。中でも多発しているのが「人」を狙ったサイバー攻撃、つまり人間の隙や油断、ミスを突いて情報を盗み取ろうとするソーシャルエンジニアリングによる攻撃である。
たとえば、新型コロナウイルスの感染拡大により、リモート環境下で働く従業員に対してコロナ関連の情報を装った詐欺メールなどを送り付けるケースが増加している。在宅勤務時はサイバー攻撃へ対する危機意識が緩みがちであり、周囲にすぐ相談できないため、不審なメールや詐欺メールを開いてしまうリスクも高まっている。特に金融機関へのサイバー攻撃はコロナ感染拡大期に238%にまで増加しており、情報処理推進機構(IPA)も注意を促している。
こうした攻撃への対応には、従業員それぞれのセキュリティ意識(セキュリティアウェアネス)を高めることが重要である。もっとも、従来からパワーポイントにまとめた資料を配布したり、集合研修を実施したり、標的型攻撃を装った訓練メールを従業員に配信している企業は少なくないだろう。
しかし、これらの取り組みで、従業員のセキュリティアウェアネスが実際にどれほど向上したのかを定量的に把握することは難しい。実施した施策にどれほど意味があったのか、十分に検証できているだろうか? 年に1回程度の単発的かつ低頻度で、内容に進化や変化もない施策に陥っていないだろうか?
たとえば、新型コロナウイルスの感染拡大により、リモート環境下で働く従業員に対してコロナ関連の情報を装った詐欺メールなどを送り付けるケースが増加している。在宅勤務時はサイバー攻撃へ対する危機意識が緩みがちであり、周囲にすぐ相談できないため、不審なメールや詐欺メールを開いてしまうリスクも高まっている。特に金融機関へのサイバー攻撃はコロナ感染拡大期に238%にまで増加しており、情報処理推進機構(IPA)も注意を促している。
こうした攻撃への対応には、従業員それぞれのセキュリティ意識(セキュリティアウェアネス)を高めることが重要である。もっとも、従来からパワーポイントにまとめた資料を配布したり、集合研修を実施したり、標的型攻撃を装った訓練メールを従業員に配信している企業は少なくないだろう。
しかし、これらの取り組みで、従業員のセキュリティアウェアネスが実際にどれほど向上したのかを定量的に把握することは難しい。実施した施策にどれほど意味があったのか、十分に検証できているだろうか? 年に1回程度の単発的かつ低頻度で、内容に進化や変化もない施策に陥っていないだろうか?
受講への意欲が高まりにくいセキュリティ教育
従来のセキュリティ教育には多くの課題が存在している。まず挙げられるのがセキュリティ対策やセキュリティ教育を担う情報システム担当者への負荷がかかりすぎてしまう点だ。セキュリティ教育は効果測定が難しいうえ、コンテンツも限られている。当然ながら、同じ内容のコンテンツを繰り返し使用していては、従業員から飽きられてしまい効果もほとんど期待できなくなる。
情報システム担当者としては、色々なコンテンツで施策を行ったり、次の施策につなげるために結果がどのようなものだったのかを把握したりしても、それを実現するための効率的な手法はなかなか存在しないのが実態である。
また、セキュリティ教育を実施して従業員に知識を習得させたとしても、「知っている」ことと「出来る」ことは本質的に異なる。単に知識を詰め込むだけの教育から、組織の構成員それぞれが、自分のおかれた立場に応じたリスクを自ら意識し、主体的に行動できるようにする必要がある。
電通国際情報サービス(以下、ISID)金融ソリューション事業部 営業ユニット 戦略アライアンス部の十川 準一氏は、従来のセキュリティ教育が抱える課題を次のように指摘する。
「セキュリティ教育のコンテンツは最新の情勢を反映できていないものが多く、また教育を実施した効果の測定も簡単ではありません。このため、上層部から教育の効果を問われても、明確な回答を提示するのが難しい上、いわゆるPDCAサイクルによる改善も難しいのが実情です」
しかるべきコンテンツでセキュリティ教育を実施しなければ、従業員の意識はさらに下がってしまい、それは社内で行われるセキュリティ教育への受講率低下にもつながりかねないだろう。
「本来であれば、“個人のセキュリティアウェアネスとは大事なもの。だからこそ我々もしっかりと教育や訓練を受けるべきだ”といった意識醸成までを行える仕組みが求められてくるはずです。しかし現実は、それ以前の“なかなか受講率が上がらない。すなわち、社内のセキュリティ教育に参加してくれない。”といった問題に多くの企業が頭を悩ませています」(十川氏)
情報システム担当者としては、色々なコンテンツで施策を行ったり、次の施策につなげるために結果がどのようなものだったのかを把握したりしても、それを実現するための効率的な手法はなかなか存在しないのが実態である。
また、セキュリティ教育を実施して従業員に知識を習得させたとしても、「知っている」ことと「出来る」ことは本質的に異なる。単に知識を詰め込むだけの教育から、組織の構成員それぞれが、自分のおかれた立場に応じたリスクを自ら意識し、主体的に行動できるようにする必要がある。
電通国際情報サービス(以下、ISID)金融ソリューション事業部 営業ユニット 戦略アライアンス部の十川 準一氏は、従来のセキュリティ教育が抱える課題を次のように指摘する。
「セキュリティ教育のコンテンツは最新の情勢を反映できていないものが多く、また教育を実施した効果の測定も簡単ではありません。このため、上層部から教育の効果を問われても、明確な回答を提示するのが難しい上、いわゆるPDCAサイクルによる改善も難しいのが実情です」
しかるべきコンテンツでセキュリティ教育を実施しなければ、従業員の意識はさらに下がってしまい、それは社内で行われるセキュリティ教育への受講率低下にもつながりかねないだろう。
「本来であれば、“個人のセキュリティアウェアネスとは大事なもの。だからこそ我々もしっかりと教育や訓練を受けるべきだ”といった意識醸成までを行える仕組みが求められてくるはずです。しかし現実は、それ以前の“なかなか受講率が上がらない。すなわち、社内のセキュリティ教育に参加してくれない。”といった問題に多くの企業が頭を悩ませています」(十川氏)
世界最大のクラウド型セキュリティアウェアネス(意識)向上プラットフォーム
これまで挙げてきたセキュリティ教育に関する課題への解決策として、注目を集めているソリューションがある。「最新のセキュリティ教育コンテンツ」と「本番さながらのメール訓練」と「効果測定及び分析」を組み合わせた、世界最大のクラウド型セキュリティアウェアネス(意識)向上プラットフォームの「KnowBe4」だ。
同ソリューションは、全世界で5万社以上の実績があるクラウドサービスである。34カ国語に対応した豊富なセキュリティ教育コンテンツや訓練メールのテンプレートを、従業員のレベルに応じてワンプラットフォームで提供可能だ。
「KnowBe4は、セキュリティ意識向上のための啓発コンテンツの配信やフィッシングメール攻撃訓練はもちろん、その配信効果の可視化・分析機能まで提供しており、セキュリティアウェアネス向上プログラムのPDCAを1つのプラットフォームで実現します。直感的に使えるユーザーインターフェースが備わっており、業務量の多い情報システム担当者に負担をかけずに利用できます」(十川氏)
また、KnowBe4プラットフォームは、事業規模にかかわらず全ての企業が容易に活用できる。クラウドサービスとして提供されるため、スムーズかつスピーディーに、全社的にセキュリティ教育を普及させられる。
多言語対応も可能なことからグローバル企業が導入しやすく、国ごとのセキュリティレベルの差の解消に貢献できる点も、KnowBe4が広く受け入れられている大きな理由の1つだ。たとえば、日本国内に本社を置くグローバル企業においても、統一セキュリティ教育プラットフォームとしてKnowBe4を導入・活用することで、国ごとのセキュリティ意識などを可視化。意識の低い拠点に対しては集中してセキュリティ教育を施すことにより、グローバルレベルで危機意識の底上げを図ることができる。
同ソリューションは、全世界で5万社以上の実績があるクラウドサービスである。34カ国語に対応した豊富なセキュリティ教育コンテンツや訓練メールのテンプレートを、従業員のレベルに応じてワンプラットフォームで提供可能だ。
「KnowBe4は、セキュリティ意識向上のための啓発コンテンツの配信やフィッシングメール攻撃訓練はもちろん、その配信効果の可視化・分析機能まで提供しており、セキュリティアウェアネス向上プログラムのPDCAを1つのプラットフォームで実現します。直感的に使えるユーザーインターフェースが備わっており、業務量の多い情報システム担当者に負担をかけずに利用できます」(十川氏)
また、KnowBe4プラットフォームは、事業規模にかかわらず全ての企業が容易に活用できる。クラウドサービスとして提供されるため、スムーズかつスピーディーに、全社的にセキュリティ教育を普及させられる。
多言語対応も可能なことからグローバル企業が導入しやすく、国ごとのセキュリティレベルの差の解消に貢献できる点も、KnowBe4が広く受け入れられている大きな理由の1つだ。たとえば、日本国内に本社を置くグローバル企業においても、統一セキュリティ教育プラットフォームとしてKnowBe4を導入・活用することで、国ごとのセキュリティ意識などを可視化。意識の低い拠点に対しては集中してセキュリティ教育を施すことにより、グローバルレベルで危機意識の底上げを図ることができる。
標的型メール訓練結果を年代別に可視化して次の施策へ
KnowBe4の導入にあたっては、全拠点で一元的に運用するための権限設定や、年間教育計画と運用方針の策定、認証システムとの連携などを行う。導入にかかる工数や人員を削減したい企業にとっては、少々負荷がかかると思うかもしれないが、ISIDであれば、国内代理店として多くの企業への導入支援で培った知見を生かしたサポートが提供可能だ。
ISIDでは、自社にもKnowBe4を導入してグループ社員向けにセキュリティアウェアネス向上プログラムを展開しており、既にISIDのパートナー(約3800名)にも導入済みで今後はパートナー企業やグループ会社を含む、合計7000名への実施を目指している。また、社内で積み重ねてきたノウハウも顧客へのサポートに生かしているという。
推進チームの人的リソースは決して潤沢とは言えない状況ではあったが、十川の所属するプロダクトチームの支援により3カ月程度で導入することができたという。つまり、ISIDのプロダクトチームの支援があれば、顧客側のリソースが十分とはいえなくても導入できるといえるのではないか。
「現在はコンテンツ提供やメール訓練の実施、分析/効果測定のサイクルを回しながら、企業全体のセキュリティ意識に対する分析を実施しています」と十川氏は説明する。
実際にKnowBe4では具体的にどのようなことがわかり、それによってどのような対策を行っているのか。十川氏は同社に導入した際のデータの一部を明かしてくれた。
同社における標的型メール訓練結果を年代別に見てみると、年代が上がるにつれてクリック率が低下し、60代では再度上昇するという興味深い結果が表れた。また同社では、これとは別の機会にアセスメントを実施しているが、そこでも若い世代のセキュリティレベルは相対的に低い傾向が見られたという。
こうした結果を踏まえ、ISIDでは若年層向けに個別にフィッシング関連の教育コンテンツ配信することを検討している。このように、セグメントごとの可視化・分析、さらにそれに対するセグメントごとの施策を講じやすいのもKnowBe4ならではの特長であろう。
「この施策では、若年層に合わせて60代のクリック率が非常に高いことも判明しました。そこで60代にもフィッシング関連の教育コンテンツ配信が必要になるのではと考えています」と、十川氏は話す。
ISIDでは、自社にもKnowBe4を導入してグループ社員向けにセキュリティアウェアネス向上プログラムを展開しており、既にISIDのパートナー(約3800名)にも導入済みで今後はパートナー企業やグループ会社を含む、合計7000名への実施を目指している。また、社内で積み重ねてきたノウハウも顧客へのサポートに生かしているという。
推進チームの人的リソースは決して潤沢とは言えない状況ではあったが、十川の所属するプロダクトチームの支援により3カ月程度で導入することができたという。つまり、ISIDのプロダクトチームの支援があれば、顧客側のリソースが十分とはいえなくても導入できるといえるのではないか。
「現在はコンテンツ提供やメール訓練の実施、分析/効果測定のサイクルを回しながら、企業全体のセキュリティ意識に対する分析を実施しています」と十川氏は説明する。
実際にKnowBe4では具体的にどのようなことがわかり、それによってどのような対策を行っているのか。十川氏は同社に導入した際のデータの一部を明かしてくれた。
同社における標的型メール訓練結果を年代別に見てみると、年代が上がるにつれてクリック率が低下し、60代では再度上昇するという興味深い結果が表れた。また同社では、これとは別の機会にアセスメントを実施しているが、そこでも若い世代のセキュリティレベルは相対的に低い傾向が見られたという。
こうした結果を踏まえ、ISIDでは若年層向けに個別にフィッシング関連の教育コンテンツ配信することを検討している。このように、セグメントごとの可視化・分析、さらにそれに対するセグメントごとの施策を講じやすいのもKnowBe4ならではの特長であろう。
「この施策では、若年層に合わせて60代のクリック率が非常に高いことも判明しました。そこで60代にもフィッシング関連の教育コンテンツ配信が必要になるのではと考えています」と、十川氏は話す。
セキュリティを重要視する文化を醸成する一歩に
ISIDによると、国内におけるKnowBe4の導入状況については、以前は製造業からのニーズが高かったという。しかし、昨今ではグローバルでの各種規制強化などを受けて、特に金融業界からの引き合いが増えているという。このためISIDとしても、金融業界からのニーズにより応えられるよう注力していく構えだ。
最後に十川氏は、各企業の情報システム担当者・情報セキュリティ担当者に向けて次のようなメッセージを送った。
「セキュリティに関するテーマに限らず、教育は、ただ単に知識を詰め込むだけでは受講者の興味関心を高めることは難しく、内容も身につきません。たとえ知識習得ができたとしても、知っている事とできる事は別問題です。普段の業務から日常的にセキュリティを意識し行動するためには、セキュリティアウェアネス(意識)を向上させる訓練が必要となります。まずはぜひ当社にご相談いただき、“セキュリティは重要”という文化の醸成の第一歩を踏み出してはいかがでしょうか。そのための仕組みづくりに欠かせないツールとしてKnowBe4の導入を検討していただければと思います」
最後に十川氏は、各企業の情報システム担当者・情報セキュリティ担当者に向けて次のようなメッセージを送った。
「セキュリティに関するテーマに限らず、教育は、ただ単に知識を詰め込むだけでは受講者の興味関心を高めることは難しく、内容も身につきません。たとえ知識習得ができたとしても、知っている事とできる事は別問題です。普段の業務から日常的にセキュリティを意識し行動するためには、セキュリティアウェアネス(意識)を向上させる訓練が必要となります。まずはぜひ当社にご相談いただき、“セキュリティは重要”という文化の醸成の第一歩を踏み出してはいかがでしょうか。そのための仕組みづくりに欠かせないツールとしてKnowBe4の導入を検討していただければと思います」
INTERVIEWEE
