【最後の砦は人?】セキュリティリスク削減に重要なセキュリティ教育の課題とポイント
更新日 : 2024年08月20日
標的型メール攻撃は、残念ながら技術的なセキュリティ対策だけでは防げません。従業員のセキュリティ意識向上が急務であるものの、効率的で効果的なセキュリティ教育の実施にはさまざまな課題があります。 本記事では、サイバー攻撃を防ぐ3つの要素からなぜセキュリティ教育が重要視されているのか、セキュリティ教育を実施する上での課題、解決するためのポイントについて解説します。
|
目次 |
サイバー攻撃を受けたことがありますか
皆様は過去にサイバー攻撃の経験がありますか?自分はサイバー攻撃の被害にあったことがないと思っている方にお尋ねしますが、過去にスパムメールや送信元を偽装した不審なメールを受け取ったことはありませんか。
実はサイバー攻撃の大部分はメールを通じて行われます。そのため、スパムメールが届いてもクリックしない限り安全だと安心するのではなく、そもそもスパムメールが届くこと自体がサイバー攻撃の一形態であるという認識を持っていただきたいです。それに対する正しい対応を怠ると、不審なメールと見抜けずに誤ってクリックした場合に不利益を被る恐れがあります。特に企業においては、2022年4月に個人情報保護法が改正されたことも踏まえ、セキュリティにはさらなる注意が必要です。
サイバー攻撃のリスクを下げる3つの要素
増加しているサイバー攻撃の被害リスクを減らすためには、「ルール」「技術」「人」という3つの側面からバランスよくセキュリティ対策を進めることが必要です。
オペレーション(ルールや業務プロセス・手順)
オペレーションルールや業務プロセスの手順が確立されていて、例えば不審なメールを誤って開封しクリックしてしまった場合、それを迅速に報告する体制が整っているかどうかがポイントです。また、報告を受けた担当者は、定められたルールにのっとり適切にエスカレーションする仕組みも必要です。
技術的なセキュリティ対策
業務で利用している端末へエンドポイントセキュリティソフトウェアが導入されていたり、ファイアウォールが設置されていたりすることが基本であり、これらがきちんと管理および運用されていることが不可欠です。
従業員のセキュリティリテラシー
従業員のセキュリティリテラシーは不測の事態に対応するためにも非常に重要です。なぜなら、社内ルールを定め、技術的な対策を行ったとしても、結局最後には「人」が起因した被害が起きてしまうからです。セキュリティリテラシーという用語についてはこちらの記事で解説しています。
では、社員のセキュリティリテラシーをどのように高めていくかが課題となりますが、適切なセキュリティ教育とは何かについて詳しく考えてみましょう。
目指すべきセキュリティ教育とは
皆様の企業では、セキュリティ教育は年間何回行っていますか。
警視庁サイバー警察局サイバー企画課の「不正アクセス行為対策等の実態調査アクセス制御機能に関する技術の研究開発の状況等に関する調査 調査報告書」によると、セキュリティ教育の実施は「年に1回」が45%、「年に数回」が35%ということが分かりました。そこで疑問に思うのは、年に1回の教育で本当に十分なのかどうかです。
エビングハウスの忘却曲線によれば、知識は復習によって定着します。この原則は、セキュリティ教育にも当てはまります。教育を受けて学習したことも、数十分後には一部忘れてしまうことから、反復して学習することが重要です。とはいえ、定期的なセキュリティ教育を現実に進めるのは難しいと感じる担当者も多いのではないのでしょうか。次に、セキュリティ教育を実施するうえで、どのような課題があるのかについて掘り下げていきます。
セキュリティ教育の課題
よくセキュリティ教育を実施する上で生じうる課題としては下記の5つが挙げられます。
1.社員の理解度を可視化
セキュリティ教育を実施した結果、正しく社員が理解できたかを可視化することは一筋縄ではいきません。例えば、確認テストを実施するケースも多いかと思いますが、テストの結果だけで本当に理解しているかどうかを判断するのは困難です。それは、教材をもとに回答を写しただけ、または他人の答えを共有しているだけかもしれないからです。テストで満点を取っても、実際セキュリティインシデント発生時に適切な行動ができるとは限りません。
2.教育後の変化がわからない
次に、教育実施後の変化がわからないことです。毎年の教育で結果を記録し、効果をしっかり評価できているでしょうか。前回と比べて社員の理解度が低下していれば、実施した教育だけでは不十分であることがわかります。特に個人情報や機密情報を扱う部門では、その変化を把握し、セキュリティリスクを評価することが不可欠です。
3.実践的な訓練が導入されていない
また最近のサイバー攻撃の高度化を考慮し、実践的な訓練が求められます。企業によっては標的型攻撃を模倣した訓練メールを送るケースがあります。全社員が訓練メールを見破ることが理想ですが、重要なのは見破れなかった社員が正しい対応を取れたかどうかです。訓練と分かっていようが分かっていまいが、不審なメールを開けてしまった場合に所定の連絡先に迅速に報告した社員、報告しなかった社員を正しく記録することが大切です。
4.フォローアップ教育が不十分
上記に関連しますが、誤って訓練メールを開封してしまった社員や確認テストの結果が芳しくなかった社員に対しては、どのように再教育を行っていますか。合格点に達するまで同じテストを受けさせることや、関連資料を読むよう指示するだけでは不十分かもしれません。その社員が適切な行動を取れるようになるために、効果的な教育方法を見つけ、実施することが組織としてのセキュリティリテラシーを向上させるうえでも重要です。
5.セキュリティ教育に充てる時間が確保できない
最後に、担当者がセキュリティ教育にじっくり時間を取れないことです。毎年一度の教育の準備でさえも手間がかかります。多くの組織では、情報システム部門が日常業務としてこの対応を行うため、例年の通りのセキュリティ教育を実施せざるを得ないのが現状です。教材の準備や更新には多大な労力が必要ですし、集合研修のためには全員が参加できるように会議室を確保したり、ウェブ会議形式を利用したり、録画データを用意するなど、多くの手間がかかります。これに加えて、確認テストや訓練メールの実施、フォローアップ教育の企画と実施、さらにはその後の分析作業など、手が回らないことがあるのが実態でしょう。
セキュリティ教育のあるべき姿
セキュリティ教育のあるべき姿としては、現状の可視化と実践的な教育を適切なタイミングで行い、その効果を評価することです。これにより、教育の成果やセキュリティリスクの低減が見えるようになります。
- 社員の理解度を可視化:社員一人ひとりの理解度を可視化
- 教育実施後の変化を確認:実施した結果、企業・組織としての被害リスクが低減しているかを可視化
- 実戦的な教育の導入:訓練においても巧妙な攻撃メールを見破れるかどうかの確認
- 教育対象者へのフォロー教育:訓練で引っかかってしまった社員に対して、正しい知識を理解・定着させるためにフォロー教育の実施
- 専門要員の配置:情報システムまたはセキュリティ担当者が本来の業務に集中できるように、専門家にアウトソーシングの検討
セキュリティ事故は減らすセキュリティ教育とは
JBサービス株式会社が提供するSecuLiteracy(セキュリテラシー)は、従業員のヒューマンファイアウォールを形成するセキュリティ教育サービスで、社員のセキュリティ意識向上とセキュリティ教育担当者の負荷軽減を両立させます。
導入事例
情報セキュリティの人的対策に最適と判断!ほぼ即決となった「SecuLiteracy」の導入理由とはセキュリティ教育サービスSecuLiteracyを選定いただいた理由やセキュリティテストを実施しての効果など、パートナー様にお客様の声も交えてうかがいました。(パートナー様:セブンシステム株式会社、エンドユーザー様:医療機器卸売業お客様) |
まとめ
これからのセキュリティ対策として、ルールの整備と技術的なセキュリティ対策に加えて、従業員のセキュリティ意識を向上させることが重要です。
セキュリティ教育サービスSecuLiteracyについてご興味がございましたら、お気軽にお問い合わせください。