第52話 社員へのセキュリティトレーングを有効にするために

トレーニングを繰り返しても効果がない場合

情報漏洩防止に効果的な社員へのセキュリティトレーニングはどういうものであろうか。

セキュリティ意識とスキルのトレーニング
企業のセキュリティ・プログラムの成否は、人の行動が大きく影響します。攻撃者が企業に侵入するために、ユーザーにリンクをクリックさせたり、電子メールの添付ファイルを開かせたりして、マルウェアをインストールさせることは、ネットワークの悪用を見つけて直接それを実行するよりも簡単です。
ユーザー自身も、意図的であるかどうかにかかわらず、機密データの取り扱いを誤る、機密データを含む電子メールを誤った受信者に送る、携帯用エンドユーザーデバイスを紛失する、弱いパスワードを使う、公共のサイトで使っているのと同じパスワードを使うなどの結果として、インシデントを引き起こす可能性があります。（略）
トレーニングは定期的に更新する必要があります。そうすることで、セキュリティ文化が高まり、危険な回避策を思いとどまることができます。

CIS Controls 14

教育の回数を重ねることで、情報漏洩リスクが下がるケースもあるし、

残念ながら教育回数を重ねても、情報漏洩リスク低減という点に関しては効果がないケースもある。

効果があがらないケースの１つが、標的型攻撃などだ。たとえ１００人の従業員９９人が守れても１人のパソコンが感染することで、被害が全社ネットワークに広がる。

このようなケースでは教育で、感染させてしまう社員が１００人のうち３０人が１人まで減少させることが出来たとしても、やはり社内へのリスクはほとんど変わらない。

ゼロトラスト＝社員はミスをする前提

標的型攻撃は「人の判断に頼る」のは最後の砦であり、「人を信頼しない＝社員はミスをする前提」でセキュリティ対策を構築するべきである。

業務内容がセキュリティルールと相反する場合

もう１つのケースは、セキュリティルールと業務内容が相反するケースだ。

セキュリティルールが「業務データをUSBメモリなどで持ち出してはいけない」と定めてあっても、業務のノルマが厳しくサービス残業で自宅で持ち帰り仕事をしない限り業務を達成できないケース。このように両者が相反する場合は、セキュリティ教育を繰り返しても、情報漏洩リスク低減の効果は限られるだろう。

情報漏洩事故のうち、社員が不本意で起こしてしまう事故については、教育を繰り返すのではなく、「社員はミスするのが前提」という「ゼロトラスト（暗黙の信頼に依存しない）」観点の対策が重要だ。

コンプライアンスとしても意味

ただ「内部不正」のように、情報漏洩の原因が「社員の意思」によるインシデントについては、セキュリティ教育は意味を持つ。

本人がルールを守らないことによって、情報漏洩が発生した場合の、社会的責任や場合によっては賠償責任が生じる内容は、会社側が社員全員に周知するべき内容だ。

ただし、業務内容とセキュリティルールが相反しない社内体制としてあることが大前提であることは言うまでもない。

企業が役職員に対して「セキュリティ教育」を定期的に実施することはコンプライアンス的にも意味がある。

■どのようなリスクがあるのか？
すべての役職員に教育を実施しないと、役職員は適切な管理を行うことができません。また、教育内容を見直さないと、新たな脅威への対策を行えず、内部不正を発生させてしまう恐れがあります。
教育を実施していないと、不正行為を犯した内部者の責任を追及できないことがあります。
さらに、企業や団体の管理責任を問われることもあります。
組織における 内部不正防止ガイドライン

IPA「組織における内部不正防止ガイドライン」
https://www.ipa.go.jp/files/000057060.pdf#page52

まとめ

・ゼロトラストは「人を信用しないこと」が前提。
・人に依存せずシステム的に情報漏洩を発生させない仕組み。
・社員のセキュリティ教育で効果があるのは「内部不正」。
・ただしシステム対策と社内体制を整えることが必須。