中小企業が「ゲーミフィケーション」でコストをかけずにセキュリティを強化するには

コストをあまりかけずにサイバーセキュリティを高める方法は幾つかある。多要素認証をオンにするといったすぐに可能なものもある。だが、本当に重要なのはそこではない。

[Sue Poremba，Cybersecurity Dive]

　あまりコストをかけずに中堅・中小企業のセキュリティを高める方法が幾つかある。

中小企業のセキュリティを向上させるシンプルな方法

　多要素認証（MFA）や「ゲーミフィケーション」などすぐに利用できる方法がある。どのように役立てることができるのだろうか。

　導入済みのソリューションにMFAの機能が備わっているにもかかわらず、利用していない企業が目立つ。「Microsoft 365」を含むMicrosoftのクラウド製品を使用している人のうち、MFAを有効にしているユーザーの割合は3分の1強だ（注1）。

　ある機能を利用しているか、していないかというよりももっと根が深い問題もある。企業のパスワード管理が不十分であり、セキュリティ意識向上のための継続的なトレーニングがなく、データ漏えい防止計画がないことも多い。

　このような企業に欠けているのは、何よりもサイバーセキュリティ文化だ。確固たる文化がなければ、ネットワークやデータを侵害やその他の脅威から守るのに苦労する。ではどうすればよいのだろうか。

　医療機器の設計開発事業などを営むInteger Holdingsのリチャード・バルデュッチ氏（最高情報セキュリティ責任者）は、2024年2月にフロリダ州オーランドで開催された「Zero Trust World」の聴衆に対して、「サイバーセキュリティの文化の醸成とは、単に手順やプロセスに従うことではなく、セキュリティが組織全体のビジネスオペレーションの一部として根付いていることを意味する」と語った。

　「サイバーセキュリティの実践方法や適用方法を知らないと、ただ単に詳しそうだと思われる人物の言うことに従ってしまうだろう。人々は規範のように見えるものに従う傾向があるからだ。だが仮に先導者自身が迷走していたらどうなってしまうだろうか」（バルデュッチ氏）

　中堅・中小企業はリソースが限られているため、サイバー攻撃に対して特に脆弱（ぜいじゃく）な可能性がある。現在の労働環境や脅威環境において、なぜセキュリティをビジネスオペレーションに組み込む必要があるかを真に理解している人材を獲得できていないことも理由の一つだ。

　適切なシステムやツールを導入することも重要だが、結局は人にかかっている。

　サイバーセキュリティ事業を営むMightyIDのクリス・スタインク氏（最高執行責任者）は次のように述べた。

　「私の経験では、セキュリティインフラが厳重に整備された大規模な組織であっても、適切な保護措置がなければ、人間に関連する要素を悪用される可能性が常にある」

　このため、サイバーセキュリティに対する意識の醸成が不可欠だ。サイバーセキュリティを組織の倫理観に組み込むことで、企業はサイバー攻撃に対する防御を強化できる。

　「サイバーセキュリティの文化は従業員一人一人がセキュリティの管理者として行動する力を与え、潜在的な脅威に対する説明責任と意識を醸成する」（スタインク氏）

サイバーセキュリティにどう取り組むかが重要

　どのような種類の文化であれ、文化を創造するには参加者による新しい態度や行動に対する投資が必要だ。この場合の参加者とはもちろん中小企業のオーナーや従業員を指す。そして、新しい態度や行動とは、ビジネスに対する潜在的な脅威やその影響、そして、それらの脅威をどのように防止できるかについての認識を高めることだ。

　サイバーセキュリティ事業を営むCheck Point Softwareのミッキー・ボーランド氏（サイバーセキュリティ・アーキテクト兼エバンジェリスト）によると、中小企業のリーダーシップは、従業員に関心を持ってもらうための手掛かりを提供すべきであり、従業員の行動が企業のサイバーセキュリティの地位向上にどのように役立つかを示す必要があるという。

　ゲーミフィケーションは、そのような手掛かりを提供する際に有用だ。リーダー層は脅威の巧妙化を強調するシナリオを作成し、セキュリティのベストプラクティスを導入する解決策をチームや個人に提案させ、社内コンペティションに参加させることができる。

　あるいは、異なる習慣に対して報酬を設定することもできる。リンクをクリックしないことや不審な電子メールを報告することなどの行動が日常的に身に付くまで報酬を設定する方法などがある。

ゲーミフィケーションとは何か　どう役立てるのか

　「ゲーミフィケーションをサイバーセキュリティ文化の醸成に役立てる」という考え方は多少飲み込みにくいかもしれない。そこで、どのように取り組めばよいのかを解説する。

　ゲーミフィケーションはゲームデザインの要素やゲームの仕組みをゲーム以外の分野に応用して、ユーザーや対象者のモチベーションやエンゲージメントを高めるアプローチだ。ゲームには人を引き寄せ、熱中させる力がある。これを利用する。ゲームの要素を活用することで、特定の行動や課題に対する意欲を高めたり、継続的な関与を促したりできる。

　企業内でゲーミフィケーションを役立てる方法は幾つかある。

（1）サイバーセキュリティ研修のゲーム化　従業員がサイバーセキュリティに関する知識やスキルを身に付けるための研修をゲーム化する。クイズやシミュレーション、ロールプレイングなどの要素を取り入れ、従業員が楽しみながら学習できるようにする。ゲーム化することで、従業員のモチベーションを高め、能動的な学習を促すことができる。

（2）サイバー攻撃のシミュレーション　従業員がサイバー攻撃への対応力を高められるように、シミュレーションゲームを利用する。架空の企業がサイバー攻撃を受けたという設定で、従業員が攻撃の検知、分析、対応といったプロセスを体験できるゲームを利用できる。ゲームを通じて、従業員はサイバー攻撃への対応力を高め、実際の攻撃が発生した際に的確な判断と迅速な行動が取れるようになる。

（3）リーダーボードと報酬　従業員がサイバーセキュリティに関する特定の行動を取った際にポイントを与え、ポイントを各プレイヤーのスコアとして表示した「リーダーボード」で可視化できる。サイバーセキュリティに関するトレーニングを完了したら10ポイント、セキュリティパッチを最新の状態に保っていたら5ポイント、といったようにポイントを設定する。高得点を取った従業員に報酬や特典を提供することで、競争心や達成感を刺激し、セキュリティ意識を高めることができる。

（4）クイズやコンテスト　サイバーセキュリティに関するクイズやコンテストを開催することで、従業員の知識やスキルを試すことができる。クイズを定期的に実施し、正解者や上位入賞者に特典を提供することで、従業員の継続的な学習を促進できる。また、チーム対抗戦や部門対抗戦などのコンテストを開催することで、従業員同士のコミュニケーションやコラボレーションを促進し、組織全体としてのセキュリティ意識を向上できる。

（5）レベルとバッジ　ゲームでおなじみのレベルやバッジのシステムをサイバーセキュリティの文脈に取り入れることができる。サイバーセキュリティに関するトレーニングやクイズを完了するごとにレベルが上がり、一定のレベルに達するとバッジが獲得できるようにする。レベルやバッジの達成度を可視化することで、従業員の達成感や誇りを刺激し、さらなる学習やスキル向上への意欲を高めることができる。

　このように、ゲーミフィケーションを活用することで従業員のモチベーションを高め、能動的な参加を促し、結果として企業のサイバー防御力が高まることを期待できる。（キーマンズネット編集部）

最小限のコストで実施できる小さなベストプラクティス

　攻撃者は取引先企業になりすましたり、ユーザーをだましてミスを誘発したりするために、あらゆる手口を使う。セキュリティ文化の構築は、セキュリティのベストプラクティスを強化するために従業員の努力を促すだけでなく、組織のシステムの中で攻撃者が利用できる要素を従業員自ら予測できるようになることにもつながる。

　「強力なパスワードポリシーの徹底やMFAの有効化といった簡単なステップで、さまざまな攻撃を阻止できる」（スタインク氏）

　勤務用デバイスだけでなく、企業のデータやインフラにアクセスできる可能性のある全てのデバイスにパッチやアップグレードを適用するよう、従業員を促すことも同様に有効だ。特に、IoTデバイスに接続されたホームルーターを使用しているテレワーカーにとって、これは重要だ。

　また、ドメイン名や電子メールアドレスを詳しく調べ、フィッシングに耐えられるようにしておくことも必要だ。

　攻撃者が使用する巧妙な攻撃の一つに文字の見かけを利用するという手法がある。小文字の「l」を大文字の「I」に置き換えたり、数字の「1」に置き換えたりして、偽のWebサイトを作り上げてしまう。この他にもUnicodeに登録されている外形の似た文字を使ったさまざまなごまかしが可能だ。

　Webサイトや電子メールアドレスにこのようなトリックが仕掛けられていた場合、文字を見分けることはかなり難しい。攻撃者はこれらの置き換えを利用して一見すると正当に思えるリンクや電子メールアドレスを作成し、受信者を悪意のあるサイトに誘導し、機密情報を漏えいさせる。

　素早く実施でき、コストがかからない対策は存在する。もしも多数のユーザーが参照するWebサイトを運営しているのであれば、簡単に模倣できる文字を使用した自社と間違えやすいドメイン名をあらかじめ登録しておくことだ。Webサイトにアクセスするユーザーであれば、リンクをクリックするのではなく、ブックマークからアクセスするとよい。

出典：What’s missing for SMBs? A solid cybersecurity culture（Cybersecurity Dive）
注1：Entra ID Multifactor Authentication Reaches 38% of All User Accounts（Practical 365）