変化を続けるサイバー脅威へ対抗するには
従業員のセキュリティー意識向上と
文化形成が不可欠

　DXやデータドリブンの進展に伴い企業の経営にデジタルが深く融合している今日、サイバーセキュリティーリスクはかつてないほど高まっている。多くの企業が、システムの各レイヤーにセキュリティーソリューションを導入することで対策強化に努めているが、「人」に関わるリスクを防ぎ切ることは難しい。

　「私たちKnowBe4は、従業員のセキュリティー意識を向上させるための製品をプラットフォームで提供する企業です。しかし、そんな我々でさえも先般、従業員の雇用に際してサイバー攻撃者による詐欺の被害に遭ってしまいました」とKnowBe4 Japanの広瀬 努氏は打ち明ける。

　調査の結果、それによるKnowBe4のシステムへの不正アクセスやデータの漏洩、紛失、流出はなかった。しかし、同社はこのことを重要な教訓としてもらうために、広く世の中に公表している。

　経緯は次のようなものだ。まず同社は、米国本社のAIチームが必要とするソフトウエアエンジニアを求人広告で募集した。応募者の選考ではオンライン面接を4回実施するとともに、履歴書や住民ID、卒業証明書、推薦者への確認などに基づく身元調査も行ったという。

　「特に問題は認められなかったため、当社はあるエンジニアを採用しました。ところが、当該エンジニアに業務用のMacワークステーションを配布した直後から、マルウエアファイルのダウンロードが開始されていることがEDRツールによって確認されたのです」（広瀬氏）。そこで同社のSOCは、速やかに当該デバイスをネットワークから隔離するとともに実態調査を開始。エンジニア本人へのヒアリングも試みたが、最終的に会話できないまま音信不通になったという。

　「その後、外部のセキュリティー企業や調査会社との連携のもとで詳細調査を進めた結果、当該エンジニアのIDは盗難された別人のもので、実際は海外からVPN経由でアクセスしていたことが分かりました。履歴書の写真も、ディープフェイクで加工されたものだったのです」と広瀬氏。当該エンジニアは北朝鮮の人物で、国家規模の犯罪組織が関与している可能性があるものと同社は見ている。

　このような国家支援型の不正な活動の舞台は、何も米国に限らない。日本においても「北朝鮮IT労働者に関する企業等に対する注意喚起」という報道発表資料が、警察庁から2024年3月26日に公開されている。同様のことは、あらゆる日本企業にも起こる可能性があるといえるだろう。

　経緯を見る限り、KnowBe4が人材採用において取ったプロセスには特に手落ちがあったわけではなく、むしろ厳重なチェックを経たものといっていい。それでも、攻撃者は巧妙な手口を使って組織に忍び込もうと試みてくるのだ。

　このように、今日では単にテクノロジー面の対策だけでは防ぎ切れない様々なサイバーリスクが顕在化している。中でも近年、注意すべきなのが、ソーシャルエンジニアリングの手法を用いたものである。従業員の知人や取引先の人物になりすまし、フィッシングメールやマルウエアを添付したメールを送りつけることで、そこから重要システムへの侵入や情報の窃取を試みるといった方法だ。

　「生成AIや大規模言語モデルの発達で人間の心理的な隙や行動のミスにつけ込む攻撃は、近年、急速に巧妙化が進んでいます。対策のカギを握るのは、社内にセキュリティー文化を醸成することにほかなりません」と広瀬氏は話す（図1）。サイバー攻撃対策としてテクノロジーだけに依存することなく、企業にとって最も大きな攻撃対象領域である従業員が常に危機意識を持って業務に当たる。サイバーリスクに対する最大の防御になるというわけだ。 　KnowBe4が提供するセキュリティー教育・訓練プラットフォームは、このようなセキュリティー文化の醸成に大きく貢献する。

　具体的には、標的型攻撃メールやフィッシングメール、ソーシャルエンジニアリングへの対応力を高める各種トレーニングのほか、コンプライアンス研修や、高リスクな操作が発生した際、リアルタイムに教育を行うコーチングツールなどを用意している（図2）。 　「また特徴的なのは、ハッカーと企業の戦いを壮大なスケールで描くドラマコンテンツ『The Inside Man』です。各シーズン・各エピソードにはランサムウエアやソーシャルエンジニアリング、パスワード漏洩などの話題が散りばめられており、観るだけで楽しみながら最新のサイバーリスクを理解できます。動画配信スタジオ品質のクオリティーも、大きな特徴です」と広瀬氏は紹介する。セキュリティーを従業員にとって身近なものにすることで、文化として根付かせる効果が期待できるという。

　加えてKnowBe4は、企業の従業員の行動にかかわる情報を積算してリスクスコアを明らかにしたり、科学的アプローチに基づくアセスメントでセキュリティー文化の成熟度を測る仕組みも提供している。リスクスコアの算定にはAIモデルを使用しており、営業部門の一般社員よりも、経理部門のマネージャーにより大きな重み付けがなされるといった、職務権限を考慮したリアルな実態把握が可能だ。

　「当社のサービスは、これまで世界7万社以上の企業・組織にご利用いただいています。それらのお客様の成熟度データの平均値と比較することで、自社が今、業界、あるいは同じ企業規模で、どの位置にあるのかを比較検証することも可能です」と広瀬氏は述べる。

　KnowBe4は、「Enable employees to make smarter security decisions, everyday」（従業員がより賢明なセキュリティー上の意思決定を行えるようにする）をミッションに掲げている。そこには、従業員が自らの行為で組織をリスクにさらさないようにすることはもちろん、他者のリスクの高い行動に対して敏感になったり、内部不正を発見した際に躊躇なく報告したりできるムードをつくることも含まれるという。

　デジタル時代の企業成長に向けて、不可欠になるセキュリティー文化の醸成。アドバイザーであるKnowBe4に今、多くの企業が期待を寄せている。