セキュリティ対策には“人の脆弱性”をなくすことも重要
セキュリティアウェアネス(意識)の向上
デジタル化が進むにつれて、それを使う人にもセキュリティアウェアネス(意識)の向上が求められています。従業員のセキュリティアウェアネス(以下、アウェアネス)のレベルが低いと、企業のサイバーリスクが高まるためです。
例えば、サイバー攻撃は“人の脆弱性”を狙うものが増えています。標的型のサイバー攻撃で多用されるマルウェア「Emotet」などを送り込むメールの文面は様々です。取引先を装ったりするケースもあり、意識的に確認しないと気付かず感染してしまうことが少なくありません。こうした攻撃を識別するためには、単に不審メールを識別するための知識だけではなく、”このような攻撃を受ける可能性があるのだ”という意識を育てることが重要になります。これが、アウェアネスです。
例えば、サイバー攻撃は“人の脆弱性”を狙うものが増えています。標的型のサイバー攻撃で多用されるマルウェア「Emotet」などを送り込むメールの文面は様々です。取引先を装ったりするケースもあり、意識的に確認しないと気付かず感染してしまうことが少なくありません。こうした攻撃を識別するためには、単に不審メールを識別するための知識だけではなく、”このような攻撃を受ける可能性があるのだ”という意識を育てることが重要になります。これが、アウェアネスです。
オンラインサービスなどのふりをするフィッシングメールも同様で、うっかり信じてしまいリンクをクリックしてログインすると、そのログイン情報(IDとパスワード)を盗まれてしまいます。サイバー攻撃者は盗んだログイン情報を売ることや、本人になりすましてログインし勝手にサービスを利用するのです。
近年は複数のクラウドサービスを利用するケースも増えており、その設定のミスで個人情報が漏えいしてしまう事故が多発しています。
従業員の転職の際や、派遣社員が重要な情報を持ち出したケースもあります。リモートワークのPCを家族がゲームや映画視聴などに使ってしまうこともあるでしょう。
こうした「人の脆弱性」は、単なる知識教育だけではなく、自分が置かれている状況、脅威やリスクを日常的に意識できるようにしなければ克服できません。つまり、アウェアネスを高めることが、こうしたリスクを軽減することにつながるのです。
近年は複数のクラウドサービスを利用するケースも増えており、その設定のミスで個人情報が漏えいしてしまう事故が多発しています。
従業員の転職の際や、派遣社員が重要な情報を持ち出したケースもあります。リモートワークのPCを家族がゲームや映画視聴などに使ってしまうこともあるでしょう。
こうした「人の脆弱性」は、単なる知識教育だけではなく、自分が置かれている状況、脅威やリスクを日常的に意識できるようにしなければ克服できません。つまり、アウェアネスを高めることが、こうしたリスクを軽減することにつながるのです。
アウェアネス向上の必要性
ただ、セキュリティ向上のためには、知識やその活用力、つまりリテラシーも重要です。デジタルネイティブの社員が増え、ITリテラシーのレベルは向上が見られるものの、いまだセキュリティ面での知識教育は学校においても確立されていません。リテラシーとアウェアネスはいわば車の両輪です。企業はビジネスを守るため、この両面で向上を目指さなければいけません。
企業が従業員にこうしたセキュリティ教育や訓練を実施するには、社内での実施、外部講習の受講など、いくつかの方法があります。
セキュリティ教育については、社内での実施は最も容易に思えますが、外部から講師を呼ぶ場合はコストがかかる事や、講習の間は業務が中断することになります。一方でオンライン教育は社内で各自が好きな時間に受講できますが、本当に受講したかどうかを把握することが難しく効果には疑問が残ります。
訓練についても、年に数回の形式的なメール訓練を行い、開封状況を把握するだけにとどまるだけではなく、開封してしまった社員の傾向や、分析を十二分に行い、補修訓練などの適切なフォローアップを行うには、従来のメール訓練だけでなく、教育とも連動した仕組みが必要となります。
セキュリティ教育については、社内での実施は最も容易に思えますが、外部から講師を呼ぶ場合はコストがかかる事や、講習の間は業務が中断することになります。一方でオンライン教育は社内で各自が好きな時間に受講できますが、本当に受講したかどうかを把握することが難しく効果には疑問が残ります。
訓練についても、年に数回の形式的なメール訓練を行い、開封状況を把握するだけにとどまるだけではなく、開封してしまった社員の傾向や、分析を十二分に行い、補修訓練などの適切なフォローアップを行うには、従来のメール訓練だけでなく、教育とも連動した仕組みが必要となります。
セキュリティアウェアネス(意識)向上トレーニングプラットフォーム
しかし、こうした教育を自社で体系的に実施していくのは、大きな負担となります。最近、クラウドベース(SaaS)のサービスで、こうしたセキュリティ教育コンテンツ配信、受講管理などをサポートするものが登場していますから、こうしたサービスをうまく活用していくことで、コンテンツの準備や受講管理などを大幅に効率化できるでしょう。こうしたサービスを選ぶ際に重要となるのが、受講者の意識を高める、つまりアウェアネスを向上するという視点でのコンテンツが準備されているかどうかです。
KnowBe4社のKMSATの場合、教育面においてはビデオ、トレーニング、アセスメント、ゲーム、ニュースレター、ポスターなどの多彩なコンテンツが多言語で用意されており、ビデオは映画のような高品質のドラマ仕立てで興味を持って見続けられるように工夫されています。また、企業独自のコンテンツを配信することも可能です。
KnowBe4社のKMSATの場合、教育面においてはビデオ、トレーニング、アセスメント、ゲーム、ニュースレター、ポスターなどの多彩なコンテンツが多言語で用意されており、ビデオは映画のような高品質のドラマ仕立てで興味を持って見続けられるように工夫されています。また、企業独自のコンテンツを配信することも可能です。
メール訓練においても、豊富なテンプレートを活用して本番さながらの攻撃を疑似体験することができます。
また、社員や部署ごとにレベルに合わせた教育メニューを策定することも可能です。さらに、フィッシングメールだと気づいた際に通知するボタンも用意され、何かあったら報告する文化の醸成にも役立ちます。管理者は単一のコンソールからこれらの教育状況を把握することができ、効果測定を実施して教育コンテンツを是正していくことも可能です。
“人の脆弱性”が狙われる現在、従業員のアウェアネス向上は急務といえます。皆様の組織でも、アウェアネスを向上させるプログラムを試してみてはいかがでしょうか。
また、社員や部署ごとにレベルに合わせた教育メニューを策定することも可能です。さらに、フィッシングメールだと気づいた際に通知するボタンも用意され、何かあったら報告する文化の醸成にも役立ちます。管理者は単一のコンソールからこれらの教育状況を把握することができ、効果測定を実施して教育コンテンツを是正していくことも可能です。
“人の脆弱性”が狙われる現在、従業員のアウェアネス向上は急務といえます。皆様の組織でも、アウェアネスを向上させるプログラムを試してみてはいかがでしょうか。
