見出し画像

DX時代のセキュリティ教育 ―「人」を最後の砦としてサイバー攻撃から企業を守る

2022年6月時点の内容です


はじめに

新型コロナウイルス感染症の流行がもたらした変化のひとつに、企業のテレワーク推進が挙げられます。従業員がそれぞれ異なる場所で勤務する機会が増え、「人」を狙ったサイバー攻撃もさらに増加しています。企業の情報を守るためには、テクノロジーを活用した対策ももちろん必要ですが、「人」が最後の砦となってサイバー攻撃を防ぐことがより重要となります。DX推進のこの時代に、「人」を教育して巧妙化するサイバー攻撃から企業や個人を守る、というのは一見すると相反することのように思えるかもしれません。

本稿では、情報を守るために何が必要か、「人」を最後の砦とするセキュリティ教育とは何か、その疑問に、株式会社東陽テクニカ 情報通信システムソリューション部 次長 大柳誠一郎がお答えいたします。また、2022年2月に当社が開催した「セキュリティ意識向上セミナー」で特別講師を務めた、世界的に有名な伝説のハッカーKevin Mitnick(ケビン・ミトニック)氏の、近年のサイバー攻撃の特徴や、これに対抗するための方法についてのコメントもご紹介いたします。

今、必要なセキュリティ教育とは
―意識を向上させて維持する

まず、情報セキュリティとは何か教えてください。

情報セキュリティとは、重要な資産である情報を「機密性(Confidentiality)」、「完全性(Integrity)」、「可用性(Availability)」に関する脅威から、保護することです。それぞれの頭文字をとって情報セキュリティの3要素を「CIA」と呼んでいます。

機密性とは、許可された人だけがアクセスできることを指します。ITシステムの機密性が高いかどうかは、ペネトレーションテスト(侵入テスト)を実施して診断します。完全性は、情報の改ざんや破壊が行われておらず、内容が正しい状態にあることです。可用性は、障害が発生しにくいこと、もし障害が発生しても復旧までの時間が短い状態を指します。

図1:情報セキュリティの3要素

では、情報セキュリティを脅かすものは何でしょうか。

情報セキュリティの脅威にも3要素あり、「人的脅威」、「技術的脅威」、「物理的脅威」が挙げられます。人的脅威は、従業員の不正や、偶発的な誤りで発生してしまう脅威のこと。原因は従業員の情報セキュリティに対する意識の低さにあります。一方、技術的脅威は、マルウェアなどに感染して情報漏洩が起こる脅威で、物理的脅威は、災害などを原因とするシステム停止などによる情報破壊の脅威です。

情報セキュリティ脅威から大切な情報を守るためには、何が必要ですか。

システム面では次世代型FW(ファイアウォール)、EDR(エンドポイントにおけるセキュリティ強化)などの対策が挙げられます。一方、人的脅威を最小限にするためには、セキュリティ教育が必要です。テレワークが進み、各々が異なる場所で仕事をする機会が増えたことで、これまでのテクノロジーに頼った対策では不十分になってきました。同じ場所で仕事をしていれば、ちょっとしたコミュニケーションで未然に防げるものもあるかもしれませんが、人が分散すると難しい。近年、攻撃者(ハッカー)は、人をターゲットにして、ソーシャルエンジニアリング(個人を操って情報を入手すること)を活用したさまざまなスタイルで攻撃を仕掛けてきます。それに対抗するために、従業員を教育、訓練して個々の意識を向上させる必要性が高まったのではないかと思います。

セキュリティ教育の方法は、従来から何か変化がありますか。

第一世代から第五世代へと変化しています。第一世代は人を頼らないで、テクノロジーに依存する方法。第二世代は集合教育、第三世代はeラーニング、第四世代はメール訓練といった、定期的に教育を行う方法。そして第五世代はヒューマンファイアウォール(Human Firewall)アプローチ、すなわち「人」を最後の砦とするための継続的な教育です。日本ではまだ、第三、第四世代のスタイルが中心と思われます。もちろんこのような研修も大事ですが、人の記憶は薄れやすいものです。従業員それぞれの意識を向上させて維持すること、我々はそこに着目して、第五世代の必要性を伝えようとしているところです。

図2:セキュリティ教育の変化

第五世代のヒューマンファイアウォール・アプローチとは、具体的にどのようなものでしょうか。

従業員の意識を向上させて維持することを目的とした「セキュリティアウェアネス教育」、いわゆる「SAT」と呼ばれるもので、海外ではかなり浸透してきています。簡単に言うと、従業員に対して短時間で継続的に教育して、無意識でも行動できるようにさせることです。

新型コロナウイルス対策を例にするとわかりやすいでしょう。我々はウイルスの専門家ではないので、細かい分子構造などの知識は必要ありませんが、発症したときの症状や、感染を防ぐための方法を知っています。テレビやインターネットの情報、外出先でのアナウンスなど、いたるところで目や耳にしているため、自然と情報が頭に入り、自分を守るための行動をとっているのです。セキュリティに関しても同様で、専門家のように全てを細かく理解する必要はない。従業員一人ひとりが、脅威のあるメールに引っかかったら何が起こるか、騙されないためには何をすればよいか、わかっていて行動できればよいのです。企業の情報資産を守るだけでなく個人の私生活を守ることにもつながります。

実際にセキュリティ教育を行う上での課題はありますか。

セキュリティ教育を企画・運用する側(企業側)の課題としては、多くの企業が、システムへの対策には毎年投資をしますが、セキュリティ教育には投資をしないという傾向があり、セキュリティ事故に遭って初めて教育の必要性が見直されることが多いです。また、実際にセキュリティ教育を行うことになっても、管理・運用者の負荷が高いことや、企業・国ごとに言語や文化が異なる点、また攻撃は日々変化しているためそれに合わせたコンテンツ作成における難しさもあります。

一方、セキュリティ教育を受ける側(従業員側)の課題としては、日常業務で忙しいのに教育に割く時間が無駄だと感じるような内容の教育が多い、毎回同じような内容だと飽きてしまう、などがあるのではないかと思います。従業員が飽きずに楽しみながら続けられて、さまざまな攻撃(例えば、標的型メール攻撃、ランサムウェア、エモテットなど)に、自然と対応できるようになることがベストです。

KnowBe4社とセキュリティ教育製品について

なぜKnowBe4社に注目したのでしょうか。

今から4年前の2018年、私はこれからのICT(情報通信技術)やセキュリティ市場について調べていました。アナリストから、これからDXの時代が来る、という話を聞くことも多くなりました。そこで、“ゲームチェンジ”が起きると言われる分野の中から、セキュリティを中心に市場調査を行い、特にSAT市場について調査を進め、日本におけるSAT市場は2024年に600億円規模に急成長するという予測があることがわかりました。その中で見つけたのがKnowBe4社です。当時、KnowBe4社には日本国内での販売パートナーがいないことがわかり、2018年12月25日に正式に契約をしました。その後、2019年6月に開催された「Interop Tokyo 2019」で初公開した際、製品の需要を確信し、2019年8月に販売・サポートを開始することになりました。

KnowBe4社の製品の特長や利点についてお聞かせください。

KnowBe4社が提供する教育はSATが中心で、「人」をヒューマンファイアウォールにするために必要な機能が盛り込まれています。セキュリティ意識向上トレーニング&フィッシングシミュレーション「KnowBe4」は、模擬的なフィッシング攻撃、動画による教育コンテンツなどを豊富に取り揃え、教育・訓練・分析までワンストップで提供します。

図3:「KnowBe4」の教育の特徴

また、契約期間中であれば無制限に利用できる点、約40言語に対応している点、そして日々変化する攻撃に合わせたコンテンツのアップデートなどがポイントかと思います。また、受講者に最適な学習を自動で管理できるため、運用コストを大幅に下げることができます。さらに、内容も興味を引くものが多く、お客様から「次のコンテンツを早く見たい」という従業員の声が出ているとの話も聞きます。

図4:「KnowBe4」イメージ

「KnowBe4」製品情報については、こちらをご覧ください。
https://www.toyo.co.jp/ict/products/detail/knowbe4-cbt.html

東レ株式会社様、株式会社資生堂様の「KnowBe4」導入事例紹介はこちらをご覧ください。

東レ株式会社様の「KnowBe4」導入事例
https://www.toyo.co.jp/ict/casestudy/detail/id=35883

株式会社資生堂様の「KnowBe4」導入事例
https://www.toyo.co.jp/ict/casestudy/detail/id=35884

KnowBe4セキュリティ意識向上セミナーとケビン・ミトニック氏

東陽テクニカは2022年2月17日、企業の情報セキュリティを担う方々を対象としたオンラインセミナー、『「Human Firewall」を実現するKnowBe4セキュリティ意識向上セミナー』を開催しました。世界的に有名な伝説のハッカーであり、KnowBe4社のCHO(Chief Hacking Officer)でもあるKevin Mitnick(ケビン・ミトニック)氏の特別講演を中心に、「KnowBe4」の紹介や、国内で「KnowBe4」を導入しているグローバル企業二社の事例についての講演を行いました。

ケビン・ミトニック氏を招いてセミナーを開催しようと考えた理由を教えてください。

続きは「東陽テクニカルマガジン」WEBサイトでお楽しみください。