職場でのサイバーセキュリティ

2018年11月20日

社員は企業の最も貴重な資産です。収益を伸ばし、顧客との関係を築き、そしてもちろん、企業セキュリティにおける防衛線として非常に重要な役割を果たします(英語)。

しかし、企業への侵入を企むサイバー犯罪者は、社員を一番楽に侵入できる経路(英語)と見なしている節があります。たとえば北米の場合、データ漏洩の原因の上位2つは、不注意や無知から来る従業員の行動と、フィッシングなどのソーシャルエンジニアリングでした。サイバー犯罪者はこれをよく承知していて、そこを突いてきます。

社員というファイアウォールをサイバー犯罪者に突破されることなく、外に出してはならない最重要情報を保護することができるのは、強固なセキュリティ教育プログラムがあってこそです。

職場でのサイバーセキュリティの最善策については、多数の質問が寄せられます。そこで、Kaspersky Labのアメリカ地域で情報セキュリティおよびコンプライアンスの責任者を務めるバートン・ヨキネン(Barton Jokinen)に、よくある質問のいくつかに答えてもらいましょう。

エスポジート(筆者、以下Q):サイバーセキュリティとは何なのでしょう?

ヨキネン(以下A):「サイバーセキュリティ」という言葉には多数の定義があって、しかも広い範囲をカバーしています。今回の文脈では、システムとデータを悪意ある攻撃から守る行動、になりますね。この中には、物理的なセキュリティや、セキュリティ意識向上のためのトレーニングも含まれます。

Q:現在利用できるサイバーセキュリティの意識向上プログラムのうち、ベストなものはどれですか。

Aどの企業にも適した万能型のサイバーセキュリティ意識向上プログラム、というものはありません。ビジネスの戦略的目標、目的、リスク分析、それからリスク選好に応じて、企業ごとにニーズが違います。ですから、「サイバーセキュリティは、自社の基幹事業にどのように役立つだろうか」と考えてみるといいですね。

Q:サイバーセキュリティの観点で、職場を守るために企業が考えなければならないことは何ですか。

A組織のサイバーセキュリティを検討する際に、見過ごされがちな3つの領域があります。

物理的なセキュリティと安全。組織のサイバーセキュリティを計画する上で一番に考えるべきなのは、社員のウェルビーイング(幸せ、満足)です。サイバーセキュリティの文脈ではピンとこないかもしれませんし、「サイバー(コンピューターやネットワーク関連)」の問題には思えないかもしれません。しかし、IoTデバイス、いわゆるモノのインターネットが普及するにつれて、物理的なセキュリティとサイバーセキュリティの境界はあいまいになってきています。Webインターフェイスを通じて操作されるワイヤレスセキュリティカメラや、社員のスマートフォンで解錠するスマートロックなどありますが、こういったものはどこまでが物理的でどこからがサイバーなのでしょうね?

多くの企業では昔ながらの物理的なセキュリティと環境制御が整っていますが、これらは実際に問題解決にあたる人々とは切り離されています。しかし、このIoTの時代、問題改善を担うのは社内のサイバーセキュリティ部門とIT部門です。職場では、IoTのシステムが企業の他の部分と同じネットワークリソースを共有していることがよくあります。IoTデバイスをメインのネットワークに接続すると、企業ネットワークのリソースに不正アクセスするための侵入口を提供してしまうことになりかねず、危険です。

脆弱性を抱えるシステムは、セキュリティが十分ではない産業用制御システム(ICS)へのアクセスに悪用されることもあります。ICSが重要インフラの稼動や製造業務を担っている場合は、関連するシステムをすべて詳細に調査する必要があります。サイバーセキュリティの取り組みには、こうしたネットワークへの対応も含まれていなければなりません。

資産とデータの状況認識。サイバーセキュリティの枠組みのほとんどは、企業が所有する資産(データを含む)を把握しているかどうかにかかってきます。データを処理するシステムとアプリケーションは何で、どこにあって、誰がアクセス権を持っているのか、といったことですね。把握済みの資産に基づいてサイバーセキュリティのリスクを評価することで、直面し得る脅威をより明確に判断できます。これで、優先するべきところにサイバーセキュリティの人材とコストを集中させることができます。

サイバーセキュリティ意識とトレーニング資産を見つけ出して分類するだけでは、サイバーセキュリティ意識の向上になりません。意識向上は継続的な取り組みであるべきです。セキュリティポリシーや、現存する脅威や、脅威への対処法について社員を教育する取り組みですね。特に注意したいのは、ソーシャルエンジニアリングです。今もよく使われ、効果を上げている攻撃手法です。

全般的なトレーニングだけではなく、役割に応じたトレーニングが必須です。一人一人に合った、楽しめる内容にしてください。啓発のコンセプトに合ったストーリーを提示して、ためになるようなゲームを実施しましょう。意識向上プログラムはどんなものでも構いませんが、試験にはしないでください。

良いプログラムとはどういうものかと言えば、インストラクター主導の対面式トレーニングと、シナリオに沿ったオンラインの自主学習と、アンケートを組み合わせているプログラムです。プログラムが有効に作用している点と、うまく機能していない点が分かるように、常に判断基準となるものを収集してください。

Q:当社のIT部門はサイバーセキュリティについて十分な知識があります。それでもさらにトレーニングが必要な理由は何でしょう。

Aサイバーセキュリティに関する教育は、組織全体で当たり前に行われるようでなければなりません。社員はよく「Weakest link(一番弱い環)」に例えられますが(The strength of the chain is in the weakest link(鎖の頑丈さは一番弱い環で決まる)ということわざから)、実際に、一番多い攻撃経路は社員です。そのため、組織内のその他攻撃経路と同じように扱う必要があります。

Q:私たちはいくつかのトレーニングプログラムを受けてきましたが、どれも効果があったとは思えません。どうすればいいでしょうか。

A従来のトレーニングプログラムでは、習慣を変えさせたり、行動を起こさせたりするのは難しいことが分かっています。効果的な教育プログラムを作り上げるには、学習と教育のプロセスの背後にあるものを理解していなければなりません。サイバーセキュリティの意識向上プログラムを成功させるには、社員がオフィスを離れた日常生活の中でもセキュリティを意識した行動を続けられるような、サイバーセキュリティの文化を創り出すことが重要です。啓発トレーニングが最終的に目指しているのは、知識を伝えることだけではなく、習慣を変え、新しい行動パターンを形成することなのです。

Kaspersky Security Awarenessは、そのための一歩を踏み出すのに適していますし、既存のプログラムに足りないものを埋めるのにも役立ちます。このトレーニングシリーズは、組織構造の全レベルに適したトレーニングを実施できるようになっています。コンピューターベースで受講するようになっていて、最新の学習テクニックを採用しています。ゲーミフィケーションや実践的学習、といったものですね。また、スキルをしっかり身に着けて維持できるように、繰り返しの強化学習も取り入れています。このほか、受講者の実際的な関心を高めるために、社員の働く環境やふるまいを模倣する内容になっています。こうした動機付けによって、スキルが身に付きます。

Q:社員は不審な活動をどれくらいの頻度で報告すべきですか。

Aサイバーセキュリティ部門にとっては、何か「不審な」ものが重大な脅威になるのを待つよりも、誤報であっても報告してもらうほうが良いですね。ただ、不審な活動を報告できるようになるには、何が不審なのかを判断できなければなりません。

サイバーセキュリティ意識向上トレーニングとトレーニングを補強する教材は、疑わしいインシデントというものを事例を通じて明確に定義し、いつ、どのように報告するべきかを示す必要があります。その上で、疑わしいと思える活動であれば何でも報告するように社員を促すのです。インシデントの報告にはさまざまなやり方があります。ITサービスデスクを設けている企業もあれば、メールでセキュリティ部門へのチケットを発行するようにしている企業もあります。また、上司にインシデントを報告するように求める企業もあるかもしれません。

疑わしい活動の特定と報告について社員が知識を持つようになったら、次にやるべきことはインシデント対応ポリシーの作成です。インシデント対応ポリシーでは、インシデントを処理する際の手順と社員の責任について概要を示します。

「何かを見たら、何かしら報告する」ということを忘れないことですね。問題が大きくなってから対処するよりも、つぼみのうちに摘み取ってしまうほうが簡単です。

Q:BYODポリシーについてはどのように考えていますか。

A「Bring Your Own Device」(BYOD:私有デバイスの業務使用)は次第に浸透してきました。社員から見れば、働く時間帯と仕事に使用するデバイスを柔軟に選べるようになります。会社側には、IT資産のサポート費用が減るというメリットがあります。しかし、会社のデータは大きな危険に晒されることになります。社員が個人で持っているデバイスを業務で使えるようにするということは、そうしたデバイスが従来のセキュリティ管理の「視界の外」に出てしまうということですからね。

Q:BYODには反対のようですね。

ABYODを取りやめる必要はありませんが、安全に関する方針と手順を定めておくことが不可欠です。たとえば、仕事と遊びは分けなければなりません。企業データの処理は、会社による審査を通ってセキュリティが確保されたアプリケーションだけが行えるようにすべきです。個人所有のデバイスを業務に使用する場合、そうするのは難しそうに思うかもしれませんが、モバイルデバイス管理(MDM)というツールがあります。MDMを通じて企業データの隔離と保護、アプリケーションの審査と承認が可能ですし、企業に関連する情報をすべて追跡することも、必要な場合はそうした情報をデバイスからリモート消去することもできます。

Q:今後の教育活動に利用できるリソースはどこで探せばいいですか

AKaspersky Labは、サイバーセキュリティの世界で発生する脅威とインシデントの認知を継続してもらうために、さまざまなリソースを用意しています。

  • Threatpost(英語):IT、企業セキュリティ、サイバーセキュリティ分析に関するニュース
  • Securelist(英語):サイバーセキュリティ業界関連のニュース、レポート、興味深い調査結果
  • Kaspersky Lab Threats:変化し続けるサイバーセキュリティの脅威や脆弱性の状況についての最新情報
  • Kaspersky Cyberthreat Real-Time Map(通称:サイバーマップ):世界各地で発生するサイバー脅威をリアルタイムで可視化した、インタラクティブなツール
  • Kaspersky Daily:企業向け、個人向けのさまざまな記事を掲載するKaspersky Labの公式ブログ