サイバーセキュリティ対策に重要なサイバートレーニングおよび意識向上イニシアチブとは

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「有効なサイバーセキュリティ意識向上プログラムの策定」を再編集したものです。

 サイバーセキュリティの現状を見ていると、昨年にサイバースキルギャップを原因とする侵害が1件以上発生した企業が87%に上ったことも不思議ではありません。今日のサイバーセキュリティ専門家は、高度化した脅威環境、頻繁に変更されるコンプライアンス規制、継続的なスキル不足など、なかなか解消されないさまざまな課題に直面しています。一方、それと同時にサイバー犯罪者も攻撃を進化させています。ビジネスリーダーは、そうした新しい攻撃戦術、特にAIを使用したものは、「従来」のサイバー攻撃よりも特定や遮断が難しくなると懸念しています。

 サイバーインシデントに関しては、その危険度がますます高まっています。セキュリティ侵害には時間と費用を消費させられる上に、インシデントが発生すると企業幹部が責任を問われる事態が増えています。フォーティネットのサイバースキルギャップレポート2024年版では、回答者の51%が、攻撃を受けた結果、取締役または経営幹部が罰金、禁固、罷免、解雇などの処分を受けたと答えています。サイバーセキュリティには取締役会も注目しており、回答者の72%は、取締役が前年度よりもサイバーセキュリティを重要視していると答えました。セキュリティチームへの内外からの重圧が強まる中、組織にはリスク管理に対する「全員参加」のアプローチが必要であることは明白です。

 特に、今月はサイバーセキュリティ啓発月間にあたるため、組織はサイバーセキュリティがセキュリティチームだけでなく全員の責務であること、そして、従業員は組織防御の一端を担っていることを改めて認識することになります。

全員が果たすべき組織防御の役割

 専門家から成る有能なチームと優れたセキュリティ技術は、企業を保護する上で不可欠な要素です。しかし、攻撃者に対する最良の防御の一つは従業員です。正しい知識を身につけた従業員は、サイバー犯罪に対する防御の強固な最前線を担うことができます。昨年は、81%の組織がユーザーを直接狙ったマルウェア、フィッシング、パスワード攻撃などの攻撃を受けたことを考えると、従業員のサイバー意識向上を支援することは極めて重要です。

 サイバーセキュリティ意思向上トレーニングは、すべての企業のリスク管理戦略に組み込まれていなければなりません。サイバーセキュリティ教育に力を入れる経営幹部が増えているのは喜ばしい兆候です。60以上のリーダーが、全従業員を対象としたセキュリティ意識向上およびトレーニングプログラムを導入すると回答しています。

サイバーセキュリティトレーニングの必須項目

 サイバーセキュリティ意識向上トレーニングプログラムを初めて策定する場合も、既存のイニシアチブを再構成する場合も、最初にすべきことは目標の設定です。

 次に、トレーニングの形式と実施スケジュールを決定します。これらの構想を他のチームの同僚と共有し、意見を募ります。これにより、計画をさらに改良し、組織全体でこの取り組みを推進できる各部署の人物を特定することができます。

 すべてのサイバーセキュリティ意識向上トレーニングプログラムは、ビジネスニーズに応じた各組織独自の内容にすべきです。ただし、サイバーセキュリティのコアとなるいくつかの知識は、業種や組織に関係なくすべての従業員が身につけておく必要があります。トレーニングに含めるべき重要項目は次の通りです。

・パスワード:強力なパスワードの使用は、サイバー犯罪者から個人情報や財務情報を保護する上で不可欠です。トレーニングには、解読されにくいパスワードの作成方法と、パスワードマネージャーを使用する方法とその理由を含めます。

・多要素認証(MFA):MFAによって、サイバー犯罪に対する防御の層を増やすことができます。セキュリティチームがすでにMFAを導入している場合は、従業員がその効果と使用方法を理解しておく必要があります。

・ソーシャルエンジニアリング攻撃(フィッシングなど)フィッシングは、企業ネットワークに侵入し、ランサムウェアやマルウェアなどの攻撃を仕掛けるために攻撃者が最もよく使用する戦術です。すべての従業員は、ソーシャルエンジニアリングの手口を見分ける方法と、標的にされていると思われる場合に実施すべき手順を理解する必要があります。

・ソフトウェアの更新:サイバー犯罪の被害に遭うリスクを軽減する最も簡単な方法の一つは、ソフトウェアとアプリケーションを最新の状態に保つことです。従業員は、パッチの迅速な適用が重要である理由と、ソフトウェアの更新に関する組織のポリシーを理解する必要があります。

全員に利益をもたらすサイバートレーニングおよび意識向上イニシアチブ

 セキュリティトレーニングおよび意識向上イニシアチブは、サイバー犯罪との闘いにおいて重要な役割を果たします。これらの取り組みによって、IT、セキュリティ、およびコンプライアンスリーダーはサイバー意識の高い企業文化を構築でき、従業員が攻撃を認識して被害を回避できる可能性が高まります。

 一部には、自社でセキュリティ意識向上トレーニングを開発している組織もあります。しかし、そのためのリソースがない組織は、フォーティネットのセキュリティ意識向上トレーニングサービスなど、包括的で時宜を得たカリキュラムを提供する高品質でSaaSベースのサービスを利用できます。フォーティネットのサービスには、攻撃やユーザーの活動を表示するダッシュボード、すぐに使用できるレポート、直感的な管理インタフェース、サービスをカスタマイズまたはコブランディングする機能などが含まれています。

 サイバーセキュリティ意識向上およびトレーニングプログラムの作成や見直しの時期は、脅威情勢が深刻化している今をおいて他にありません。組織が一丸となってサイバーセキュリティに取り組むことは、すべての人にとって有益です。

■関連サイト

Fortinet トップへ