メディア
HRTech
Microsoft 365
クラウドERP
生成AI
ゼロトラスト
PC管理
RPA BANK
課題から探す
カテゴリから探す
記事一覧
ITキャパチャージ

「年1回2時間」のセキュリティ研修は危ない?

日々巧妙になるサイバー攻撃に対応するには「短いトレーニング」が効果的だと専門家は語る。最新のセキュリティトレーニングの手法とは。

» 2023年01月13日 07時00分 公開
[James KarimiCybersecurity Dive]
Cybersecurity Dive

本稿はGTTのCIO兼CISOであるジェームズ・カリミ氏によるゲスト記事です。

 従業員をオフィス勤務に戻す企業も増えているが、パンデミックの副作用として、フィッシングやスミッシング(テキストメッセージを使ったフィッシング)、その他の巧妙な中間者攻撃などの脅威は残っている。

 パンデミックが始まって以来、フィッシング攻撃は急増している。しかし、イーロン・マスク氏になりすました人物から「暗号通貨を買うように」というダイレクトメッセージが届くほど、フィッシング攻撃は分かりやすいものではない。

 セキュリティを取り巻く環境には高度なシステムを構築するためのツールや専門知識などが豊富に存在する。その中でも"従業員"は自分自身と企業を安全に保つ方法を必ずしも知らないため、常に潜在的な弱点になっている。

 企業のCISO(最高情報セキュリティ責任者)やCIO(最高情報責任者)は、サイバーセキュリティのトレーニングの方法を見直し、手順を更新し、攻撃をシミュレートし、他のリーダーを取り込むためにサイロを取り払う必要がある。

なぜ「短いトレーニング」が効果的なのか

 十分なサイバーセキュリティのトレーニングとは、かつては毎年2時間のコースを受講することだったが、サイバー攻撃の急速な進化を考慮すると、このアプローチでは不十分になってきている。

 企業は、月に1〜2回の短い(5〜10分)トレーニングセッションを実施する、より機敏なモデルに移行する必要がある。これにより、従業員の時間を尊重し、セキュリティチームはより頻繁にコンテンツを更新できるようになる。また、知識を確実に吸収するために、各セッションの最後に受講者への質問を追加する必要がある。

 詐欺師が使用する最新の手口に対応するため、トレーニングコースは教材を使い回さず、常に新鮮なものにする必要がある。ときには事業継続計画やデータプライバシー原則などのより幅広いトピックに焦点を当てることも重要だ。

 最終的には、サイバーセキュリティに関する哲学的・批判的思考を受け入れ、企業内のコンプライアンス文化を推進するよう従業員に指導する必要がある。

「敵の立場から」セキュリティの穴を探す

 CISOとCIOは、フィッシング攻撃対策をシミュレーションし、従業員が学習したことをどのように適用するかを確認し、教えを吸収できなかった従業員には再度トレーニングを提供する。セキュリティ企業は、外部ソースからの偽のSSOログインなど独自の攻撃を仕掛け、電子メールのフォレンジックを取り入れて、起きた事象の全体像を把握する必要がある。

 これらの施策の目的は、セキュリティ対策に真剣に取り組んでいない従業員、つまり「セキュリティホールドアウト」を発見することだ。1カ月に2回も攻撃されるような人物は、場合によっては権限の剥奪を含め、さらに注意が必要だ。

 CISOは人事部門と連携して、セキュリティホールドアウトに最も効果的に対処できるよう、プログラムに歯止めをかける必要がある。マンツーマンのトレーニングに参加させるのも1つの方法だが、セキュリティ対策の強化に納得しない従業員には、より厳しい措置が必要になることもある。また、人事部は従業員の勤務場所に応じた適切なコンプライアンスや法的問題を案内する必要がある。

全社的な取り組みの重要性

 CISOは、トレーニングセッションと同様に、フィッシング攻撃のシミュレーション戦略を継続的に更新し、悪意のあるアクターが使用するアプローチの進化を反映させるべきだ。

 例えば、開発チームと協力して従業員用ポータルサイトの偽のログインページを強化するなど、より洗練されたリソースを構築することから始める。

 また、電子メールクライアント用のフィッシングボタンを構築し、従業員がワンクリックで偽の攻撃を報告できるようにすることも重要なプロジェクトだ。

 さらに、このプログラムの対象を非正規雇用の従業員にも拡大することが重要だ。そういった従業員もまた、同じレベルの厳格さを必要とし、自分たちが同じように脆弱(ぜいじゃく)であることを認識する必要がある。他の部署と連携し、非正規雇用の従業員にも正規雇用の従業員と同じトレーニングを受けさせるよう義務付ける。経験則では、社内のデータにアクセスできる人物は誰でも同じような厳格さを備えなければならない。

より良いトレーニングで、より良いコネクションを

 フィッシング攻撃が巧妙になるにつれて、攻撃者は従業員に対してWeb上で入手可能なより多くの情報を活用するようになっている。攻撃者はパートナーやベンダー、サービスプロバイダーを装い、経営者や従業員のできるだけ多くの個人情報を利用しようとしている。

 誰もが批判的思考を働かせ「怪しいと感じたら、その人に電話して確認する」といった個人の知識に頼るなどして、警戒を怠らないようにしなければならない。

 セキュリティは最も弱い部分からしか守れないので、従業員をトレーニングによって育てることが、セキュリティ対策の成功につながる。

出典:How to upgrade cybersecurity awareness training(Cybersecurity Dive)

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。