情報漏えいは結局、「人」が原因従業員を最後の「砦」とできるか？
セキュリティー教育に逆転の発想を

高度化するサイバー攻撃に対する、近年の重要な取り組みの1つは「攻撃者から狙われる従業員」を対象としたセキュリティー教育だ。これに対してLRMは、コンサルティングと教育サービスの提供で培ってきた実績を基に、戦略的なセキュリティー教育の実現をサポートしている。

従業員を「砦」に変える、とは？

サイバー攻撃が高度化する昨今の状況を踏まえつつ、LRMの藤居朋之氏がまず着目したのは「情報漏えいのトレンド」である。藤井氏によれば、近年起きた注目すべき情報漏えい事件はいずれも「人」がきっかけとなっており、「たった1人のインシデントによって事件が引き起こされています」と指摘する。

改めてセキュリティー対策の観点で見ると、これまでの業務は単純な作業が多く、IT化されていない業務プロセスも多かった。そのため、適切なシステムやルール、運用による多層的な防御態勢を構築できていればサイバー攻撃を防ぐことができた。万が一サーバー攻撃の被害を受けたとしても、その被害を極力抑えることは可能だった。

しかし最近のサイバー攻撃は、生成AIによる高度化や分業化による効率化が進んでいる。これまではターゲットにならなかった企業や組織も、今やその対象になり得る。攻撃の精度やボリュームも増加していることから、藤居氏は「従来の多層的なセキュリティー対策が意味をなさないケースも多くなっています」と警告する。

ではこのような状況に対して、どのようなセキュリティー対策が求められるのか。藤居氏は「従業員を“守る”のではなく、従業員自体を最後の『砦』にする」という逆転の発想を提示した。つまり「従業員を強靭化する」ということだ。

初動対応する従業員が「未知の攻撃や高度な攻撃に対して適切に振る舞うことで、サイバー攻撃による被害を防いだり被害を抑制したりできます」と藤井氏は説明する。さらに、その実現のためには「従業員のセキュリティー意識を高め、正しい行動を促すための“セキュリティー教育”が重要になる」と説く。

一方で、セキュリティー教育を実施している組織が感じている課題は何か。調査結果では、上位に「セキュリティー教育に充てる時間が不足している」「担当者やリソースが不足している」「効果測定ができない」などがランクインした。藤居氏は「時間や人手不足は人員の充足や業務の効率化などでまかなうこともできるが、効果測定の困難さは多くの企業が頭を悩ませています」と説明する。

効果測定に関しては、例えば「インシデントが●●件減少した」「従業員の満足度が●●％以上」などを指標に掲げている組織が多い点にも触れつつも、「従業員のセキュリティー意識の向上や正しい行動への働きかけなどをセキュリティー教育の目的とするのであれば、それらは必ずしも正しい指標とはなり得ません」と藤居氏は補足する。

そこでLRMがセキュリティー教育の効果指標として提唱するのが、標的型攻撃メール訓練とひも付いた「不信メール報告率」だ。セキュリティー教育の一環として実施される標的型攻撃メール訓練は、不審メールを模擬的に送信して従業員のトレーニングを行う。しかし、その訓練を実施した際に「従業員の何人が不審メールの受信を管理者に報告したか」が不信メール報告率となる。

「報告率が低ければ、それは従業員が不審メールを受信しても行動しないということです。逆に報告率が高ければ、従業員のセキュリティー意識が高まっており、セキュリティー的に正しい行動を促せている状況といえます」と藤居氏。さらに不審メール報告率を、効果測定の基準と位置付けることで「セキュリティー教育に関する施策の成否を見極めてほしい」と助言した。

4ステップでより効果的な教育を検討

これらの内容を踏まえ、次に求められるのが「効果的なセキュリティー教育の設計手法」だ。LRMは「“3W＋1Hの4ステップ”に準じたセキュリティー教育の検討」を提唱している。

4つのステップについて、詳しく見ていこう。最初のステップ1は「Who：対象の定義」。ここはセキュリティー教育を実施する対象を洗い出すフェーズとなる。多くの企業は対象を「社員」「派遣社員」「アルバイト」などの職位あるいは雇用形態で区切っているが、「担当業務」や「管理する情報」などでより詳細に定義した方が「今後のセキュリティー教育の有効化につながります」と藤居氏はアドバイスする。

次に、ステップ2は「What：獲得してほしい知識や考え方の整理」。ステップ1で洗い出した教育対象に獲得してほしい知識や考え方を整理するフェーズとなる。ここでは、例えば「新入社員には自社のセキュリティールールを優先して教える。一方で、セキュリティーリテラシーの高い社員にはより具体的ケースを学んでもらう」といったイメージで、獲得してほしい知識や考え方の解像度を上げて整理することが重要となる。

ステップ3は「When：実施タイミングや頻度の決定」。ポイントは、ステップ2で整理した内容をどう対象者に伝えるか。そのタイミングや頻度を考えるフェーズとなる。効果的な時期や対象の負担にならない頻度を見極めることで「受講意欲や効果の底上げを期待できます」と藤居氏は説く。

最後のステップ4は「How：実施形態や手法の検討」。ステップ1～3で検討した内容を俯瞰し、適切な実施形態や手法を検討するフェーズとなる。ここでは、例えばeラーニングや集合研修に限定せず、内容によって最適な実施形態や手法を吟味することが重要であるという。従業員同士で教え合うワークショップや、セキュリティーに詳しい人がそうでない人に教える1on1の指導、指定した参考書籍の感想文提出などを藤居氏は例に挙げ、適切なやり方を考えることで「高い教育効果を期待できます」と補足した。

オールインワンで企業の取り組みを支援

ただしこれらの手順や手法が分かったとしても、セキュリティー教育を円滑に実施するために「人手が足りない」と悩んでいる企業や組織は少なくない。LRMはセキュリティー教育クラウド「セキュリオ」を提供し、取り組みをサポートしている。

セキュリオは、セキュリティー教育の実施・確認・見直しを担当者の負担なく簡単に実施できるクラウドサービスである。主な機能は次の4つ。自身がサイバー攻撃の標的たり得るという気付きを従業員に与える「標的型攻撃メール訓練」。実際に攻撃を受けたシーンを仮定した予行練習を行える「フィッシング報告」。最新のセキュリティー教材を通じて知見を獲得できる「eラーニング」。セキュリティーに関する取り組みを継続＆習慣化できる「セキュリティアウェアネス」。これら機能の連動による教育の自動化により、従業員のセキュリティー意識とレベルを効率的に向上できる。

セキュリオは現在、大小2000社を超える幅広い企業が利用する。多くの企業に選ばれる最大の理由を藤居氏は「複合的なセキュリティー教育を実現できる『オールインワンのツール』という設計コンセプトにあります」とアピールする。最後に「どうすれば従業員の行動変容につなげられるのかという観点で、自社のセキュリティー教育に取り組んでほしいと思います」と藤居氏は呼びかけた。