データ漏えい経験者が語る、効果的なサイバー攻撃の"防災訓練"とは
サイバーセキュリティでは最新のソフトウェアや対応システムが用意されていたとしても、最も重要なのは人的要素だという。なぜだろうか。
サイバーセキュリティにおいて最も重要な要素は人間だとよく言われる。なぜだろうか。
人が重要 では何をすればよいのか
大規模なサイバー犯罪を防ぐ「とりで」は人間だ。問題はそれが分かっていても、うまく対策が取れないことだ。どうすればよいのだろうか。
T-Mobile US(以下T-Mobile)のティモシー・ヤングブラッド氏(シニアバイスプレジデント、CSO《最高セキュリティ責任者》、製品セキュリティ責任者を兼任)は、ラスベガスで開催された「2023 International CES」(開催期間2023年1月5〜8日)の2日目の講演で、「セキュリティの責任は人にある」と述べた。
「私はパートナー全員を『ヒューマンファイアウォール』と呼んでいる。たった一人の人間の間違った判断が惨事につながるからだ」(ヤングブラッド氏)
ヤングブラッド氏はMcDonald’sやKimberly-Clark、DellでCISO(最高情報セキュリティ責任者)を歴任しており、世界の大企業が直面するリスクを痛感しているという。同氏がT-Mobileに入社する4カ月前(2021年8月)に同社を襲った大規模なデータ漏えい事件(注1)は、通信事業者として過去最大の漏えいだと広く見なされている。
このサイバー攻撃では、少なくとも7660万人の個人情報が流出しており、T-Mobileは2022年7月、この事件に起因する集団訴訟を解決するために5億ドルを支払うことに同意した(注2)。
ヤングブラッド氏によれば、サイバーセキュリティはほとんどの大手企業にとってトップ3のリスクだという。
おとり捜査のシミュレーションから分かったこと
T-Mobileは企業レベルの絶え間ない脅威を調べるため、インターネットにハニーポットを設置し、敵がどれくらいの頻度で会社の資産を狙ってくるのかを確認した。
「その結果、1日に6500万回もの攻撃があると判明した。これ以上の現実はない。私は侵入された会社と、まだ侵入されたことに気付いていない会社しか知らない」(ヤングブラッド氏)
ヤングブラッド氏は複数の活動や個別の取り組みを通じて会社のセキュリティ態勢を強化することによって、T-Mobileにおけるインシデントの影響や頻度を抑えようと努力している。
職種に合わせたトレーニングが必要
現場の技術者や役員アシスタント、小売店スタッフ、データベース管理者やアーキテクトなど、特定の従業員向けにカスタマイズされたペルソナベースのトレーニングでは、これらの個人の働き方と職場で発生し得るセキュリティの影響を考慮に入れている。
毎月実行されるフィッシングキャンペーンのようなリアルタイムの教育機会では、有効かどうかが常にテストされる。そのため、T-Mobileの従業員が潜在的なインシデントへの対応方法を理解するのに役立つと、ヤングブラッド氏は述る。
「2022年には16万件のフィッシングキャンペーンを実行した。T-Mobileの従業員全員に対して、正しい行動を取ったかどうかをテストしたかった」(ヤングブラッド氏)
T-Mobileのサイバートレーニングは、現在の脅威とインシデントを考慮したリスク定量化プロセスに基づいている。同社は、このトレーニングをより魅力的なものに変え、最も回復力のある従業員に対して報酬で評価するよう努めている。
「サイバー関連の仕事をしている人なら誰でも言うことはこうだ。最大の不満の一つは従業員がトレーニングに忙殺されていることだ。だから、当社はその点を工夫している」(ヤングブラッド氏)
サイバーセキュリティの専門家にとって、脆弱(ぜいじゃく)なパスワードや不正なアカウント、システムの衛生状態、パッチ未適用のシステムなど、一般的な原因が常に問題を引き起こしているため、事態は複雑になっている。
「サイバーセキュリティの仕事は非常にリスクが高く、厳しいものだ。チームメンバーには、自分たちだけで仕事をしているのではないことや、助けを求めてもよいことを伝えることが重要だと思う。完璧でないことは理解しているので、完璧でなければならないとは思わないことだ。助けを求めることができる。もし燃え尽きたと感じて休みが必要なら、会社がそれを提供できるようにしよう」(ヤングブラッド氏)
出典:T-Mobile CSO: One wrong decision can wreak havoc(Cybersecurity Dive)
注1:T-Mobile: Understanding the latest in the carrier’s string of data breaches(Cybersecurity Dive)
注2:T-Mobile agrees to $500M settlement for 2021 cyberattack(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
役員が悪いのか、若手が分かっていないのか……2023年もセキュリティで失敗が続く?
キーマンズネット会員654人を対象に「勤務先のセキュリティ対策状況」を調査した。読者からは「テレワークで起こった思わぬ情報漏えい」や「従業員教育の難しさ」などセキュリティにまつわる状況があまり改善されていないエピソードが寄せられた。
セキュリティ教育で大失敗、改善策は?
企業に対するサイバー攻撃の一部はさまざまなセキュリティ製品で防ぐことが可能だ。だが、従業員が不適切な行動を取れば容易に突破されてしまう。従業員教育が重要なのだ。なぜ従業員教育は効果を発揮していないのだろうか。