人を狙うサイバー攻撃 従業員の意識向上と訓練だけでは効果が薄い

ほとんどの企業はサイバー攻撃に備えるためには従業員の訓練が必要だと考えているだろう。だが、講習や試験、サイバー訓練などには欠点がある。どうすれば改善できるだろうか。

[Jinan Budge，Cybersecurity Dive]

　何十年もの間、不注意や知識不足などの人の弱みを狙うサイバー攻撃に企業は対処しようとしてきた。そのためにはサイバーセキュリティ意識の向上が必要で、従業員を訓練しなければならないと考えてきた。フィッシングやビジネスメール詐欺のような従業員を標的とする攻撃に対処するための選択肢は他に存在しなかったからだ。

従業員の意識向上と訓練だけでは効果が薄い

　97％の組織が「セキュリティ意識の向上と訓練」（SA&T）を実施しているという報告がある。それにもかかわらず、ビジネスメール詐欺をはじめとする人を標的にした攻撃は（この10年で約）4倍に増加している。

　事態が悪化している中、どうすればより効果的に従業員を狙う攻撃に対応できるだろうか。

　このように語るのは、リサーチを専門とするForrester Researchのジナン・バッジ氏（バイスプレジデント兼プリンシパルアナリスト）だ。以下にバッジ氏が寄稿した内容を紹介する。

　CISO（最高情報セキュリティ責任者）はセキュリティ文化を組織に根付かせることに失敗してきた。サイバー訓練は従業員をうんざりさせており、訓練によって従業員の行動がどのように変わったのかを知る者はいない。

　2024年になり、「人的リスク管理」（HRM：Human Risk Management）の考え方がただの概念から現実に変わりつつある。CISOと配下のチームはセキュリティを維持するために人に依存することをやめて、本当の変化をもたらすためにSA&Tに代わる解決策を求めていると言えるだろう。

　現在、SA&Tに関連するサービスを提供するベンダーは自社のサービスにHRMを取り入れており、SA&Tの主要な実施計画でもHRMを組み込む形で名称が変わっている。HRMの成熟度を示すモデルが登場し、職務記述書もセキュリティ行動の変化や文化、人的リスクの管理に焦点を当てるように進化してきた。

　企業はHRMを使用して、次のことを実行すべきだ。

・従業員のセキュリティ行動を検出し、測定して人的リスクを定量化する
・人的リスクに基づいて、ポリシーや訓練への介入を開始する
・従業員が自分自身と組織をサイバー攻撃から守れるように教育と支援を施す
・ポジティブなセキュリティ文化を築く

　HRMの導入により、SA&Tの領域において伝統的な目的だった「時代遅れの規制要件を満たすこと」は二次的な目的になる。

人的リスク管理の過去と現在、未来とは

　SA&TからHRMへの全面的な移行を見据え、Forrester Researchは次のような変化が起こると予測した。

短期的には大半の組織が訓練を続けるが長くは続かない

　約20年間をかけて、セキュリティチームとベンダーは従業員に対するセキュリティ訓練を徐々に改善してきた。結果ではなく、訓練の方法に注力してきたのだ。言い換えると、それがSA&Tだ。

　これはセキュリティ訓練に関する規制要件を満たしていたが、それ以外にはほとんど成果を上げていなかった。現在、多くの企業は訓練を続けながらもHRMへの移行を模索している。

中期的には従業員の行動やリスク、文化に焦点が移る

　HRMはSA&Tの欠点を克服するものだ。従業員のセキュリティ行動にポジティブな影響を与え、セキュリティ文化を根付かせることは、証拠に基づいたHRMによって推進される。革新者やアーリーアダプター（早期導入者）はHRMをすでに活用しており、大半の企業が4年以内にこれを導入すると予測できる。

長期的には組織は適応的な人的保護に向かう

　これは人とプロセス、技術が連携して、従業員のセキュリティ行動を検出したり予測したりすることを意味する。

　これによりポリシーや訓練、技術を調整し、従業員が最小限の努力または努力なしで保護されるようになる。

　大半の企業にとって、このような未来は5年後から8年後に現実のものとなるだろう。

セキュリティリーダーは未来を受容するべきだ

　HRMのアーリーアダプターは、人に関連する違反の問題に新しい方法でアプローチするための考え方や戦略、プロセス、技術において大きな変化を示している。このような未来に向かうために、セキュリティリーダーは次のことを実行すべきだ。

SA&Tの目的や範囲、用語を変更し、上を目指す

　目標に合わせて、対策プログラムを説明するために使用する用語を変更する。これは、チーム名や対策プログラム名を変更して、意図を示すためだ。例えば、「デジタルユーザー行動チーム」や「HRMのための対策プログラム」など、サイバーインフルエンスやエンゲージメントの役割を作り上げたCISOたちの取り組みを参考にしてリーダーシップを取ろう。

行動の変化をただ予測するのではなく、測定する

　メールやソーシャルエンジニアリング、エンドポイントなどのなじみのあるセキュリティツールと統合し、セキュリティカテゴリ全体にわたるセキュリティ行動の測定を目指そう。

　既存の行動を基準として設定し、訓練によってこれらの行動がどのように変化したかを測定する。

人的リスクを包括的かつ正確に定量化する

　セキュリティに関するクイズのスコアやエンゲージメント率は、過去の時代の指標だ。

　人的リスクを定量化するために、次の4つの重要なポイントを考慮した包括的かつ正確な方法論を使用しよう。「個々人の実際の行動」「アイデンティティー（情報）」「個人的な攻撃への露出」「セキュリティに関する知識と感情」だ。

成果と効果に焦点を当てる

　訓練の完了率やエンゲージメントスコアは活動を測定するが、訓練がどれほど効果的だったのかを示すものではない。HRMの指標は、行動の変化やリスクの低減、全体的なセキュリティ態勢の改善を示すべきだ。

　適切なタイミングと適切な場所で介入して、実行可能なガイダンスを提供しよう。

個人やチームのリスクスコアと行動に応じてリスク行動が起きたときに介入する

　介入には、権限をブロックするようなポリシーに基づくものや、リスクのある行動が起きたタイミングでユーザーに通知したり、ナッジやコーチングなどの訓練に基づいたりするものなどがある。

　このステップは従来の画一的な訓練によって引き起こされてきた摩擦や生産性の問題を解消する。

適切なベンダーと提携する

　これらの取り組みを自社のみで実行しようとしないでほしい。上述の能力を構築するためにはコストがかかり、複雑な対応が求められるからだ。SA&Tに関連するサービスを提供するベンダーは、すでにソリューションをHRMに切り替えているか、切り替えに取り組んでいるだろう。

　ただし、注意が必要だ。SA&Tベンダーの大半は変革の必要性を理解し、考え方や戦略、技術、用語を変更しているが、移行に関する緊急性や明確さにはばらつきがある。

　すでにHRMサービスを提供する能力を構築済みのベンダーを探そう。それらのベンダーは、そのような能力の構築が正しいことだと理解しており、顧客をその過程に導くために適切な営業やカスタマーサクセス、ロードマップの仕組みを整えているからだ。

出典：Security awareness and training is a method, not an outcome（Cybersecurity Dive）
注1：Security & Risk Summit（Forrester Research）

原文へのリンク