ノウ・ビフォー
-セキュリティリテラシーとセキュリティアウェアネスは根本的に違う-
東京(2020年8月17日発) --このたび、サイバーセキュリティの最前線を調査し、その知見を提供する米国サイバーセキュリティ調査会社であるCybersecurity Ventures(https://cybersecurityventures.com/)が同社のCybercrime Magazineで、従業員向けのセキュリティ意識向上トレーニングの重要性とその最新動向について報じました。先進的な米国の大手企業の最高情報セキュリティ責任者(CISO)の9名からインタビューを通して、大手企業、特に、世界でビジネスを展開するグローバル企業にとって、従業員のためのセキュリティ意識向上トレーニングは最重要課題であることを明らかにしています。
https://cybersecurityventures.com/cisos-say-security-awareness-training-for-employees-is-top-priority/
世界のセキュリティ意識向上トレーニング市場をリードするKnowBe4社の100%出資日本法人KnowBe4 Japan合同会社(本社:千代田区、日本代表マネージングディレクター:根岸正人)は、日本企業を狙う標的型のサイバー攻撃が急増する中、Cybersecurity VenturesおよびKnowBe4の知見を翻訳し、日本企業へセキュリティ意識教育の最新動向とその重要性を伝えるために本プレスリリースを配信します。
―――――――――――――――――――――――――――――――――――――――
【セキュリティ意識向上トレーニングの現状と重要性について】
サイバー攻撃に関して、一人ひとりに意識改革を植え付け、これに立つ向かうためにいかに防御するかを従業員に教育することは、長年にわたり、サイバーセキュリティ分野で最もコストをかけてこなかった領域でした。しかしながら、今、大きな変化が起き始めていると、Cybersecurity Ventures社は指摘しています。同時に、この市場が、同社の調査によると、2027年までには100億米ドルへ成長すると予測しています。
また、同社は、先進的な米国の大手企業のCISOが従業員向けのセキュリティ意識向上トレーニングとフィッシング攻撃シミュレーションプログラムの早期導入を懸命に推進していると述べています。今回の調査に関連して、そのうちの9名のリーダーに直接インタビューしています。同社は、サイバーセキュリティの米国企業リーダーの共通見解はサイバー防御チェーンの中で「人」が最も脆弱なリンクであり、セキュリティカルチャーを醸成することが最重要課題であると指摘しています。
この調査報告を受けて、セキュリティ意識向上トレーニング市場をリードするKnowBe4のチーフエバンジェリストオフィサー兼戦略統括オフィサーであるPerry Carpenter(ペリー・カーペンター)は、「セキュリティリーダーは、人的な要素が自社の全体的なセキュリティ体制において考えるべきクリティカルな部分であることを理解しているが、驚くべきことに、フォーチュン上位500社および世界の有力企業2000社でセキュリティ意識向上トレーニングのための専任のマネージャーを配置しているところは皆無ではないか」と現状の問題点を指摘しています。また、同氏は「企業によっては、セキュリティ意識向上トレーニングにセキュリティ担当者をあてているが、そのほかの多くのセキュリティ業務と兼任しており、理想的なところには達していないが、大手企業は正しい方向へと動き出している」と米国の最新動向について語っています。
【従業員セキュリティトレーニングについての9人のCISOとのインタビューから】
Cybercrime Magazineでは、これらの9人のCISOと個別にインタビューし、従業員向けのセキュリティ意識向上トレーニングを含む、サイバーセキュリティについて忌憚のない意見を聞きました。そのインタビューのポイントは次のとおりです。
証言1 米国大手信託銀行であるState Street(ステート・ストリート)の元CISO: 「セキュリティトレーニングにおける基本は、セキュリティに対する高い意識を持つワークフォースを保持することである。従業員ひとり一人を教育し、次にテストすることで、行動習慣として身に付けてもらうことである。人的なミスは避けられないものであり、1つのミスが会社に莫大な損害を与える可能性のあることを周知徹底することである。」
証言2 Mastercard(マスターカード)の副CISO: 「マスターカードでは現在1万4千人の従業員が活躍しているが、これは言い換えれば、マスターカードへ侵入する1万4千の方法があるといことになる。サイバーセキュリティについて従業員ひとり一人を教育することが必要であり、セキュリティ意識を何らかのかたちで浸透することが不可欠である。」
証言3 ニューヨーク州最大の医療機関であるNorthwell Health(ノースウェル・ヘルス)のCISO: 「患者様のデータを安全に守ることは、われわれにとっての最優先課題である。外部での講演で、次のような質問をよく問いかけることがある。「セキュリティチームには何人のスタッフが必要と思いますか?」 5人、10人、20人という回答が一般的であるが、弊社の回答は、6万7千人である。従業員ひとり一人が情報セキュリティ担当者であると考えている。」
証言4 グローバルにビジネスを展開する米国の大手インダストリアル企業であるStandard Industries(スタンダード・インダストリーズ)のCISO: 「従業員が何かをクリックさせようとする攻撃を受けた場合、どのような行動と取るでしょうか。的確な人に警告しますか?情報セキュリティ担当者へ報告しますか? また、フィッシングテストで誤ってクリックしたときはどうでしょうか。「引っかかりました。良いテストです」と言うでしょうか。また、システムへのアクセスを取り上げられないようにするために、ひた隠しにするでしょうか。」
証言5 Microsoft(マイクロソフト)のCISO: 「われわれは、セキュリティ意識教育によって間違いなく、日に追って、改善が見られている。誤ったクリックを半減させたが、さらに、従業員に届いてはならない不審なメールがシステムに入ってくるのを半減させた。従業員はクリックしないようにすることを身に付け、次にさらに重要なことはそれを情報セキュリティ担当者へ報告するようになったことだ。報告されるようになったことで、マイクロソフトの従業員だけではなく、世界のすべてのOfficeユーザーのために、フィッシングメールを即座に除去することが可能になり、ユーザーの目に触れる前に取り除けるようになった。」
証言6 Delta Airlines(デルタ航空)のCISO: 「FBIに来てもらい、ハッカー目線での教えを受けた。フィッシングキャンペーンの仕掛け方の他、ハッカーにとって何の価値と利益があるのかを教えをいただいた。この教育はフィッシング攻撃に対する異なる視点を従業員に与え、単に自分自身を守るだけではなく、会社をいかに守るかと理解させることに役だった。そして、なぜハッカーがこのような行為を行うのかをセキュリティ意識として従業員ひとり一人に植え付けることができた。」
証言7 IBMの元CISO: 「仕事の流れや作業の連携の中でセキュリティスキルを学習することが不可欠になっている。サイバーセキュリティにおいてどこに特定の問題があるのか、ネット詐欺やサイバー犯罪など、デジタル化が生み出す潜在的な課題はどこにあるのかを従業員ひとり一人が理解しなければならない。また、各自の職務において、このような問題や課題にいかに対処するかを学ぶことも必要である。」
証言8 米国の大手金融サービス企業であるS&P Global(S&Pグローバル)のCISO: 「それぞれの企業に必要とされるリスクへの対応力は異なるが、重要なことは自社がいかに前向きにリスクに対して立ち向かうかである。自社が最も貴重な所有物、例えば、重要な非公開情報に加えて、人的な要素に関するセキュリティリスクへの対応力を持っていなければ、対応力を付けるために自社が出来るすべてのことを実行すべきだ。」
証言9 Hewlett Packard Enterprise(HPエンタープライズ)のCISO: 「ここに来て、セキュリティ意識向上トレーニングはすべてのセキュリティリーダーにとってまさに重要な課題の一つになってきていると考える。今や誰もがセキュリティにおいて果たすべき役割を持っている。」
【共通する1つの課題】
これらの大手企業のCISOに共通する1つの課題は、セキュリティの「人的要素」への抜本的な対策が欠如していることです。「人」が脆弱な標的ポイントであり、その対策が一筋縄でいくものではないことです。Cybercrime Magazineのインタビューを受けたCISOは、この対策の中核として、社員教育を強化する方向で取り組んでいます。「人」への攻撃は依然として鈍化する傾向は全くなく、悪意ある侵害の70から90%はソーシャルエンジニアリングやフィッシング攻撃によるものであると、KnowBe4のデータドリブン防御エバンジェリストである Roger Grimes(ロジャー・グライムス)は警告しています。
【現行のセキュリティ教育の問題点】
現行のセキュリティ教育には、KnowBe4のペリー・カーペンターの指摘する次のセキュリティ意識向上の3つの現実がその問題点を浮き彫りにしています。
ただ知っているからといって、従業員は注意するとは限らない。
人は、うっかりミスを犯すという本質と戦わなければ、どの時点においても事故は起こりうる。
自社の従業員が習慣として身につけることは、知識として知っていることよりも極めて重要である。
年に1回や2回のセキュリティ教育では、この問題点を解消することはできないと、KnowBe4のペリー・カーペンターは指摘しています。少なくとも毎月トレーニングと模擬フィッシング演習を実施することで、セキュリティ意識を従業員ひとり一人に定着させ、セキュリティカルチャーとして組織内に浸透させるセキュリティ教育が不可欠であると同氏は述べています。
また、多くの企業において、今だセキュリティ教育は ITリテラシーの一環として実施されているが、今必要なのはセキュリティアウェアネス(セキュリティ意識向上)トレーニングです。セキュリティテクノロジーを学習することが求められているのではなく、サイバー犯罪の脅威を実感し、いかに防御するかを行動習慣として身に付けることが必要なのです。
――――――――――――――――――――――――――――――――――――――――
KnowBe4の創立者兼CEO:Stu Sjouwerman (ストゥ・シャワーマン)は、本プレスリリースを発信するにあたり、次のコメントを日本企業のセキュリティリーダーに対して送ってきています。
「どこに最大のリスクが存在するか、そしてサイバー攻撃者はこれらのリスクをどのように活用しているかを理解することは、セキュリティリーダーにとって、脅威を防御・検出し、それに対する対策を策定するための効果的な戦略を作り上げる上で、その基本です。日々、新しい攻撃手口、新しい規制への遵守義務、新しいセキュリティポリシーや新しい潜在的なサイバー侵害が生まれています。セキュリティリーダーにとって、自らの組織のセキュリティへの将来を見通すビジョンとその実践に取り組むことは不可欠です。ここに、セキュリティ意識向上トレーニングの重要性がさらに注目される理由があります。セキュリティ戦略内のもう1つのレイヤー(ヒューマンファイアウォール)としてITユーザーが機能することで、サイバー脅威を水際で食い止めることができますが、デジタル化が進展する中、さまざまなデバイスとの関わりが生まれています。このような多様化する環境において、ヒューマンファイアウォールを形成するには、セキュリティ意識向上トレーニングを通してセキュリティカルチャーを醸成することが必要であると考えています。 」
――――――――――――――――――――――――――――――――――――――――
KnowBe4についてさらに知りたい方は、 www.knowbe4.jp をアクセスしてください。
<KnowBe4について>
KnowBe4は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 月に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2020年7月現在、3万3千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。また、日本においては、2019年11月にKnowBe4社の100%出資日本法人「KnowBe4 Japan合同会社」を東京都港区に設立し、2020年2月1日付けで日本代表マネージングディレクター 根岸正人が就任し、日本国内での本格的な販売及びマーケティング活動を開始しました。 https://www.knowbe4.jp/
