社員の「セキュリティ意識」どう上げる? 大成功させる秘密は「6つのステップ」
近年のサイバー攻撃はますます多様化しており、入り口として個人を狙ったサイバー攻撃が増加している。IPAが発表した「情報セキュリティ10大脅威 2024」によると、トップ10のうち4つが個人を狙った攻撃だった。こうした攻撃に対応するためには、社員一人ひとりのセキュリティ意識を高めることが重要だ。そのために教育が重要となるが、自分事として捉えている社員は少ない。どうすれば、社員のセキュリティ意識を向上できる教育ができるのだろうか。
セキュリティ教育に感じる「限界」
企業は高度化しているセキュリティ脅威に対応するために、さまざまな対策を日々講じている。しかし、それでもセキュリティ事故は一定の確率で起きてしまうのが現実だ。その原因の1つが、社員のセキュリティ意識の低さにある。
企業がセキュリティ対策を講じたとしても、社員個人のセキュリティ意識が低ければ、情報漏えいなどが起きてしまう。そのため、セキュリティ教育を通して、社員にセキュリティの知識を増やしてもらい、意識を向上させる必要がある。
だが、セキュリティ教育を受ける社員の多くはセキュリティ対策に深く携わっていないため、どうしても当事者意識が低くなりがちだ。担当業務が忙しい時期は、セキュリティ教育を受ける手間を嫌がることもあるだろう。
情報セキュリティ管理者や推進チームの視点で見ても、効果が出ているか疑問に感じつつ進めているのが実情だ。セキュリティ教育のやり方に限界を感じながらも、やむなく現在の方法を継続せざるを得ないのである。このような状況を打破するには、どのような形でセキュリティ教育を実施するのがベストなのだろうか。
企業がセキュリティ対策を講じたとしても、社員個人のセキュリティ意識が低ければ、情報漏えいなどが起きてしまう。そのため、セキュリティ教育を通して、社員にセキュリティの知識を増やしてもらい、意識を向上させる必要がある。
だが、セキュリティ教育を受ける社員の多くはセキュリティ対策に深く携わっていないため、どうしても当事者意識が低くなりがちだ。担当業務が忙しい時期は、セキュリティ教育を受ける手間を嫌がることもあるだろう。
情報セキュリティ管理者や推進チームの視点で見ても、効果が出ているか疑問に感じつつ進めているのが実情だ。セキュリティ教育のやり方に限界を感じながらも、やむなく現在の方法を継続せざるを得ないのである。このような状況を打破するには、どのような形でセキュリティ教育を実施するのがベストなのだろうか。
世界6万5000社超が採用する「セキュリティ意識向上法」とは
個人のレベルに応じたセキュリティ教育や意識向上を実施するには、SaaS型のセキュリティ意識向上トレーニングプラットフォームを利用するのがおすすめだ。
なぜなら、組織のセキュリティレベルをスコアリングでき、いくつかの質問に回答するだけでセキュリティ意識のレベルを計測できるからだ。さらに、社員一人ひとりのリテラシーに応じて教育コンテンツを配信し、メール訓練を実施することもできる。
電通総研 金融ソリューション事業部 戦略アライアンス部 セキュリティソリューショングループに所属している赤澤 卓真氏は、世界最大のセキュリティ意識向上トレーニングプラットフォーム「KnowBe4」を紹介した。
KnowBe4は、世界6万5000社以上の導入実績を持つサービスである。単一のセキュリティ教育やメール訓練だけでなく、社員一人ひとりのリテラシーやセキュリティ意識を数字で可視化し、個人のレベルに合わせたセキュリティ教育を実施できる。さらに、受診した不審メール報告の仕組みや分析(トリアージ)までも幅広くカバーしている。
なぜなら、組織のセキュリティレベルをスコアリングでき、いくつかの質問に回答するだけでセキュリティ意識のレベルを計測できるからだ。さらに、社員一人ひとりのリテラシーに応じて教育コンテンツを配信し、メール訓練を実施することもできる。
電通総研 金融ソリューション事業部 戦略アライアンス部 セキュリティソリューショングループに所属している赤澤 卓真氏は、世界最大のセキュリティ意識向上トレーニングプラットフォーム「KnowBe4」を紹介した。
KnowBe4は、世界6万5000社以上の導入実績を持つサービスである。単一のセキュリティ教育やメール訓練だけでなく、社員一人ひとりのリテラシーやセキュリティ意識を数字で可視化し、個人のレベルに合わせたセキュリティ教育を実施できる。さらに、受診した不審メール報告の仕組みや分析(トリアージ)までも幅広くカバーしている。
どうやって「Human Firewall」を構築できるか?
KnowBe4のコンセプトは、ファイアウォールやエンドポイントセキュリティなどの技術的なセキュリティ対策ではなく、社員を教育・訓練することで「Human Firewall(セキュリティ意識向上層)」を作り、攻撃を防ぐことだ。
管理者がKnowBe4にアクセスすれば、社員全体のセキュリティ意識の状況を画面上から容易に確認できる。社員一人ひとりの訓練メールのクリック率や、どんなセキュリティ教育を受けたのか、といった詳細な状況を確認できるのも特徴だ。
さらに、セキュリティ教育に必要なコンテンツが多言語でクラウド上に豊富に用意されているため、管理者が社員全体に一斉に配信したり、特定の社員に絞って配信したりなど、状況に応じて迅速かつ柔軟にセキュリティ教育することが可能である。
中でも特徴的な主な3点を挙げよう。
■特徴(1):訓練・分析・効果測定の一元管理
KnowBe4は社員教育やメール訓練、効果測定、教育プログラムの見直しをクラウド上で一元管理できるのが特徴である。教育とメール訓練を別々に異なる製品や仕組みで実施する場合、それぞれの結果を総合的に判断することが難しい。そのため教育と訓練が連動した教育プログラムを実行できず、たとえばメール訓練でクリック率が高い社員に対して、それを補うような補習教育を受講させる等の社員一人ひとりの状況に合わせた教育プログラムの実施が難しかった。
KnowBe4を使って一元管理することにより、“社員教育”→“模擬攻撃の実施”→“分析・効果測定”のサイクルを効率的に回すことができる。
「メール訓練で毎回クリックしてしまう人は誰なのか、セキュリティ教育を受けていないのは誰なのかをすぐに確認できます。KnowBe4では、社員それぞれのレベルに合わせた教育を実施することが可能です」(赤澤氏)
■特徴(2):動画を軸にした「新しい学び方」
社員のセキュリティ意識向上を図るためには、短期的な施策ではなく、継続的な訓練や教育が必要となる。KnowBe4はさまざまな教育コンテンツが用意されている。その中には映画さながらの動画コンテンツやゲーム形式のコンテンツも用意されており、このようなコンテンツを受講することにより、社員にとって親しみやすく、結果的に積極性を持ってセキュリティ教育を受講するような効果も期待できる。
また、管理者が独自のコンテンツを作成し、それをKnowBe4にアップロードして配信・管理する方法も可能だ。社員に浸透しやすいキーワードやキャラクターを使うことにより、より興味を持って受講するだろう。
■特徴(3):年間サブスクモデル
KnowBe4は、期間内であれば教育や訓練を回数無制限で利用できるのも特徴だ。KnowBe4社の統計によれば、教育と訓練の実施頻度が高い方が、メール訓練実施時のクリック率の低減などの高い効果を得られることが明らかになっている。他のセキュリティ教育サービスでは、実施回数ごとの課金や、コンテンツ単位で課金される料金体系であるため、教育と訓練の実施回数を増やしづらい。
KnowBe4では、多言語に対応した約1500種類のコンテンツが見放題となっており、メール訓練のテンプレートも約2万6000種類以上搭載している。メール訓練も期間内であれば、何回でも利用することができる。
さらに、セキュリティ教育に必要なコンテンツが多言語でクラウド上に豊富に用意されているため、管理者が社員全体に一斉に配信したり、特定の社員に絞って配信したりなど、状況に応じて迅速かつ柔軟にセキュリティ教育することが可能である。
中でも特徴的な主な3点を挙げよう。
■特徴(1):訓練・分析・効果測定の一元管理
KnowBe4は社員教育やメール訓練、効果測定、教育プログラムの見直しをクラウド上で一元管理できるのが特徴である。教育とメール訓練を別々に異なる製品や仕組みで実施する場合、それぞれの結果を総合的に判断することが難しい。そのため教育と訓練が連動した教育プログラムを実行できず、たとえばメール訓練でクリック率が高い社員に対して、それを補うような補習教育を受講させる等の社員一人ひとりの状況に合わせた教育プログラムの実施が難しかった。
KnowBe4を使って一元管理することにより、“社員教育”→“模擬攻撃の実施”→“分析・効果測定”のサイクルを効率的に回すことができる。
「メール訓練で毎回クリックしてしまう人は誰なのか、セキュリティ教育を受けていないのは誰なのかをすぐに確認できます。KnowBe4では、社員それぞれのレベルに合わせた教育を実施することが可能です」(赤澤氏)
■特徴(2):動画を軸にした「新しい学び方」
社員のセキュリティ意識向上を図るためには、短期的な施策ではなく、継続的な訓練や教育が必要となる。KnowBe4はさまざまな教育コンテンツが用意されている。その中には映画さながらの動画コンテンツやゲーム形式のコンテンツも用意されており、このようなコンテンツを受講することにより、社員にとって親しみやすく、結果的に積極性を持ってセキュリティ教育を受講するような効果も期待できる。
また、管理者が独自のコンテンツを作成し、それをKnowBe4にアップロードして配信・管理する方法も可能だ。社員に浸透しやすいキーワードやキャラクターを使うことにより、より興味を持って受講するだろう。
■特徴(3):年間サブスクモデル
KnowBe4は、期間内であれば教育や訓練を回数無制限で利用できるのも特徴だ。KnowBe4社の統計によれば、教育と訓練の実施頻度が高い方が、メール訓練実施時のクリック率の低減などの高い効果を得られることが明らかになっている。他のセキュリティ教育サービスでは、実施回数ごとの課金や、コンテンツ単位で課金される料金体系であるため、教育と訓練の実施回数を増やしづらい。
KnowBe4では、多言語に対応した約1500種類のコンテンツが見放題となっており、メール訓練のテンプレートも約2万6000種類以上搭載している。メール訓練も期間内であれば、何回でも利用することができる。
セキュリティ教育を成功させる「6つのステップ」
続けて、電通総研グループにKnowBe4を導入した事例を使って導入プロセスを解説する。KnowBe4の導入・運用設計は、3カ月程度となっている。まずは社員のみでスモールスタートし、企業全体のセキュリティ意識の確認やトレーニング、分析・効果測定を実施する。その後パートナーやグループ会社へ展開するという流れだ。
KnowBe4の導入決定から本番運用までは、基本的に以下の図の流れで進めていく。
KnowBe4の導入決定から本番運用までは、基本的に以下の図の流れで進めていく。
図のように6つのステップを経て本番実装となるが、今回は、「ステップ2:教育方針の検討」「ステップ4:アセスメントの実施」「ステップ5:メール訓練の実施」の3つの工程で押さえておくべきポイントや注意点を解説する。
■ステップ2:教育方針の検討
教育方針の検討では、企業のセキュリティ教育の方針を検討し、セキュリティ教育の年間計画を作成することが大きな目的となる。現状のセキュリティ教育の課題を整理し、KnowBe4で用意されている教育コンテンツやレポート分析機能、メーカーが推奨している教育方針などを参考に年間計画を作っていく。
「今後やっていきたい教育や訓練の内容、頻度、分析内容など、さまざまな切り口で整理して年間計画に落とし込むのがポイントです」(赤澤氏)
KnowBe4を用いたセキュリティ教育の年間計画の立て方や事例について、以下の図で示している。
■ステップ2:教育方針の検討
教育方針の検討では、企業のセキュリティ教育の方針を検討し、セキュリティ教育の年間計画を作成することが大きな目的となる。現状のセキュリティ教育の課題を整理し、KnowBe4で用意されている教育コンテンツやレポート分析機能、メーカーが推奨している教育方針などを参考に年間計画を作っていく。
「今後やっていきたい教育や訓練の内容、頻度、分析内容など、さまざまな切り口で整理して年間計画に落とし込むのがポイントです」(赤澤氏)
KnowBe4を用いたセキュリティ教育の年間計画の立て方や事例について、以下の図で示している。
■ステップ4:アセスメントの実施
セキュリティ教育の方針を定める際には、現状を客観的に評価・分析する「アセスメント」の実施が必要となる。KnowBe4に搭載されているアセスメントツールでは、全社員に向けて20~30問程度の質問に回答してもらい、それをスコア化することで、セキュリティ文化がどれだけ根付いているのか、どの点を改善すべきかなどを確認できる。
またKnowBe4のアセスメントツールでは、「コンプライアンス」「認識」「意識」など、さまざまな項目をスコア化できるのが特徴であり、年代別に分析することもできる。
たとえば「コンプライアンス」や「認識」の項目は、知識や経験があるほど高いスコアになるため、年代が高くなるほどスコアが向上する傾向にある。若い世代に対して「コンプライアンス」や「認識」の項目を補強する教育コンテンツを提供すれば、全社のセキュリティ意識の底上げにつながるというわけだ。
「アセスメントの結果は簡単にKnowBe4上で確認できるので、結果を踏まえた教育計画や施策について、管理者はもちろん、社員にとっても納得感を得られやすいと思います。管理者と社員、お互いにとって、納得感を持って取り組むことが、継続的にセキュリティ意識向上活動を行う上で、とても大事なことだと感じています」(赤澤氏)
■ステップ5:メール訓練の実施
KnowBe4のテンプレートを利用すれば、メール訓練の実施も簡単に行える。メール訓練の結果も分析できるため、分析結果を基にセキュリティ教育のやり方を検討することも可能だ。
たとえば、若い世代のメールのクリック率が高かった場合、年数を重ねるごとに詐欺への耐性が高まっていることを把握できる。その場合、若い世代向けにフィッシング関連の教育コンテンツの配信を検討する必要があるだろう。またKnowBe4のメール訓練では、職種別・格付け別での分析も可能となっている。さまざまな切り口で分析できるのが特徴となっている。
KnowBe4を導入して3年目となる電通総研では、電通総研グループ全体へKnowBe4を展開するために、情報セキュリティのキャラクターを作成したり、独自の教育コンテンツを制作するなど、さまざまな取り組みを行っている。
赤澤氏は最後に、「弊社はKnowBe4のライセンス販売だけでなく、無償トライアルの準備から本番リリースまで手厚いサポートを実施しています。導入支援サービスなどのコンサルティングサービスも実施していますので、KnowBe4の導入をご検討している方はお気軽にご相談ください」と締めくくった。
セキュリティ教育の方針を定める際には、現状を客観的に評価・分析する「アセスメント」の実施が必要となる。KnowBe4に搭載されているアセスメントツールでは、全社員に向けて20~30問程度の質問に回答してもらい、それをスコア化することで、セキュリティ文化がどれだけ根付いているのか、どの点を改善すべきかなどを確認できる。
またKnowBe4のアセスメントツールでは、「コンプライアンス」「認識」「意識」など、さまざまな項目をスコア化できるのが特徴であり、年代別に分析することもできる。
たとえば「コンプライアンス」や「認識」の項目は、知識や経験があるほど高いスコアになるため、年代が高くなるほどスコアが向上する傾向にある。若い世代に対して「コンプライアンス」や「認識」の項目を補強する教育コンテンツを提供すれば、全社のセキュリティ意識の底上げにつながるというわけだ。
「アセスメントの結果は簡単にKnowBe4上で確認できるので、結果を踏まえた教育計画や施策について、管理者はもちろん、社員にとっても納得感を得られやすいと思います。管理者と社員、お互いにとって、納得感を持って取り組むことが、継続的にセキュリティ意識向上活動を行う上で、とても大事なことだと感じています」(赤澤氏)
■ステップ5:メール訓練の実施
KnowBe4のテンプレートを利用すれば、メール訓練の実施も簡単に行える。メール訓練の結果も分析できるため、分析結果を基にセキュリティ教育のやり方を検討することも可能だ。
たとえば、若い世代のメールのクリック率が高かった場合、年数を重ねるごとに詐欺への耐性が高まっていることを把握できる。その場合、若い世代向けにフィッシング関連の教育コンテンツの配信を検討する必要があるだろう。またKnowBe4のメール訓練では、職種別・格付け別での分析も可能となっている。さまざまな切り口で分析できるのが特徴となっている。
KnowBe4を導入して3年目となる電通総研では、電通総研グループ全体へKnowBe4を展開するために、情報セキュリティのキャラクターを作成したり、独自の教育コンテンツを制作するなど、さまざまな取り組みを行っている。
赤澤氏は最後に、「弊社はKnowBe4のライセンス販売だけでなく、無償トライアルの準備から本番リリースまで手厚いサポートを実施しています。導入支援サービスなどのコンサルティングサービスも実施していますので、KnowBe4の導入をご検討している方はお気軽にご相談ください」と締めくくった。
INTERVIEWEE
※本記事は、2024年8月22日に”ビジネス+IT”内の「セキュリティ総論」に掲載されたインタビューをもとにしています。