従業員は企業にとって最大の資産であると同時に、最大のセキュリティリスクでもあります。
「過去5~7年間のセキュリティ侵害を見ると、マルウェアの偶発的あるいは意図的な持ち込みによるものかどうかに関わらず、人間がセキュリティの脆弱性という点で最も重要な障害点となっていることは明らかだ」とISACAサイバーセキュリティ諮問委員会のエディ・シュワルツ委員長は語った。
かつて企業は、従業員に対しセキュリティのベストプラクティスに関する研修を年に1回実施することができたと、(ISC)2のCOO、ウェズリー・シンプソン氏は述べています。「多くの組織は、年に1回の研修を実施して、それで終わりだと考えています」とシンプソン氏は言います。「それでは不十分です。」
その代わりに、組織は従業員にパッチを適用する必要がある、とシンプソン氏は述べた。ハードウェアやオペレーティング システムを更新するのと同様に、セキュリティの脆弱性に関する最新情報を継続的に従業員に提供し、その脆弱性を認識して回避する方法を従業員にトレーニングする必要がある。
参照: セキュリティ意識向上とトレーニングポリシー (Tech Pro Research)
「従業員は企業の資産であり、継続的な投資が必要です」とシンプソン氏は述べた。「従業員に継続的にパッチを適用しなければ、常に脆弱性を抱えることになります。」たとえ数百人の従業員を抱える企業であっても、情報漏洩のリスクを負うよりも、従業員をトレーニングする方が価値があるとシンプソン氏は付け加えた。
しかし、従業員への共感も重要だと、フォレスターのアナリスト、ジェフ・ポラード氏は述べています。「あらゆる組織にとって、人材は大きな潜在的な攻撃対象領域となります」とポラード氏は言います。「人材をセキュリティの脆弱性と考えるのは好ましくありません。なぜなら、そう考えると被害者意識が強まるからです。セキュリティチームは、情報、人材、そしてビジネスを守るために存在します。」
ユーザーが誤ってメールをクリックして感染を引き起こした場合、それが原因だと考えてしまうことが多いとポラード氏は述べた。しかし実際にはそうではない。攻撃者がメールを送信した時点で、つまりメールが開封される前に、組織は既に攻撃を受けていたのだ。また、その攻撃経路における他のすべてのセキュリティ対策が機能していなかったことも意味すると、同氏は付け加えた。
ここでは、すべての従業員がサイバーリスクとベストプラクティスを理解するのに役立つ 10 のヒントを紹介します。
1.「実弾射撃」訓練を行う
シュワルツ氏は、現在最も優れた訓練は、ユーザーが自分の仕事に特化した模擬攻撃を受ける「実弾射撃」訓練だと語った。
「セキュリティ部門や外部ベンダーが仕組んだ攻撃の被害者になることもあるでしょう。そして、その攻撃から得た教訓、ビジネスや私生活への影響、そしてどうすれば防げたのかを理解するよう求められます」とシュワルツ氏は述べた。「そして、その経験を同僚と共有するよう求められるのです。」
ISC(2)は定期的にフィッシングテストを実施しており、ITチームが組織全体の全従業員に偽のフィッシングメールを送信し、クリックした人数を測定しているとシンプソン氏は述べた。その後、部門やメッセージの種類ごとにデータを分類し、問題領域に応じたトレーニングを実施できる。また、企業は進捗状況を把握できる。
2. 上層部の賛同を得る
CISOは、他の経営幹部に潜在的な侵害の影響を認識させる必要があるとシンプソン氏は述べた。「通常、優れたサイバー対策計画を策定するには、人件費、ハードウェア、ソフトウェアの予算項目を毎年計上する必要があります」とシンプソン氏は述べた。「つまり、CFO、CIO、そしてCEOの協力を得る必要があるのです。」
参照: 情報セキュリティ認定トレーニングバンドル (TechRepublic Academy)
3. オンボーディングプロセス中にサイバーセキュリティ意識を高める
「新入社員は入社初日からセキュリティ研修を受けるので、入社したばかりの社員も心構えをしっかり身につけさせましょう」とシンプソン氏は述べた。「そうすれば、入社した瞬間からサイバーセキュリティの重要性、そして継続的な研修を受けられることを理解できるのです。」
4. 評価を実施する
組織が攻撃に対してどれほど脆弱かを把握するために、従業員とシステムの両方を評価することをためらわないでください、とシンプソン氏は言います。「そうしなければ、セキュリティ体制がどれほど悪いのか、あるいは良いのかを知ることはできません」と彼は付け加えました。
5. コミュニケーションをとる
シンプソン氏は、サイバーセキュリティ情報を全従業員に最も効果的に伝達するための計画を立て、全部門が研修と学習のベストプラクティスを理解できるようにすべきだと述べた。「これにより、サイロ化が解消され、連携が生まれ、人々が協力して取り組むことができるようになります」とシンプソン氏は述べた。
6. 正式な計画を立てる
シンプソン氏は、ITチームはサイバーセキュリティトレーニングのための正式な文書化された計画を作成し、攻撃ベクトルやその他のリスクに関する最新情報に基づいて頻繁にレビューおよび更新する必要があると述べた。
7. サイバーセキュリティ文化の推進者を任命する
シンプソン氏は、テクノロジーリーダーは組織内のあらゆる部門にサイバーセキュリティ文化の推進者を任命すべきだと述べた。これらの推進者はCISOの延長として機能し、従業員のトレーニングとモチベーション維持に貢献できる。「これは見落とされがちな点ですが、ITチーム以外にも社内に既に存在するリソースを活用することが重要です」とシンプソン氏は付け加えた。
8. 継続的なトレーニングを提供する
シュワルツ氏は、サイバーセキュリティ研修は組織のあらゆるレベルで、各従業員の職務内容に応じて年間を通じて継続されるべきだと述べた。「エンドユーザーであれば、受ける可能性のある攻撃の種類、例えばメールへの攻撃や職務内容に特化した攻撃など、それに応じた研修が必要です」とシュワルツ氏は述べた。「IT部門であれば、目にする可能性のある攻撃はより技術的な性質を持つ可能性があります。」
「重要なのは、こうした攻撃に関連して脅威の状況がどのように進化し続けるかを理解し、技術的なセキュリティトレーニングを最新の状態に保つことです」とシュワルツ氏は述べた。
参照: 出張の多いCEOとコーヒーショップが企業にとって最大のセキュリティリスクとなる理由
9. 職場と家庭におけるセキュリティの重要性を強調する
ポラード氏は、テクノロジーリーダーは従業員に対し、職場だけでなく家庭でもサイバー衛生の重要性を理解させるべきだと述べた。「プライバシー、セキュリティ、そして職場で学んだ教訓を家庭や私生活にどのように応用できるかについてユーザーに教え、『自分にとって何のメリットがあるのか』を職場だけでなく常に実践できるようにしましょう」と付け加えた。
10. 従業員に報酬を与える
悪意のあるメールを発見したユーザーに報酬を与え、ユーザーがセキュリティ問題の阻止にどのように貢献したかを共有すべきだとポラード氏は述べた。ITリーダーはミスを犯した従業員にも共感すべきだとポラード氏は述べた。「多くの従業員は1日に何百通ものメールを送受信しているので、そのようなメールを避けるように求めるのは難しい場合があります。」
これらのトレーニングのヒントは役立ちますが、教育は完璧な解決策ではないとシュワルツ氏は言います。「最も先進的で最新の教育シナリオであっても、一定の割合で攻撃は突破されてしまいます。また、最も啓発的で有益な教育プログラムであっても、すべてのトレーニングを終えた後でも、成功率は4~6%程度です」と彼は言います。「つまり、トレーニングは高度な攻撃から環境を守るための一つの側面に過ぎないのです。」
