退屈な講義ではなくサイバーセキュリティ文化を

「セキュリティ意識の向上」の意味するところは、人によって異なります。今回はKaspersky Labの考えについてお話しします。

企業のお客様に実用的なアドバイスをする場合、私たちは必ず「従業員のセキュリティ意識を向上させましょう」と呼びかけます。このアドバイスは確固たるものですが、皆が皆「セキュリティ意識の向上」という言葉を同じように理解しているわけではないことも私たちは承知しています。本日は、セキュリティ意識の向上に関するKaspersky Labの考えを説明しようと思います。

サイバー空間がいかに危険に満ちているかについて長々と講義したところで、セキュリティ意識は決して向上しません。さまざまなアプローチを研究してきた上で断言しますが、講義には効き目がありません。

企業が本当に必要とするのは、「サイバーセキュリティの文化」なのです。

当社のアプローチ

当社の経験によると、トレーニングの効果は次の条件を満たして初めて現れます。

  • 単なる理論ではない。その人の職務と適切に関連することを教えている。
  • 受講者の日々の仕事を妨げない。
  • 分かりやすく、現実的な例を用いている。
  • 実際に適用できるアドバイスを与えている。

適用可能性

最後に挙げた条件は至極当然に見えるかもしれませんが、実際に重要なポイントです。有効なアドバイスをするのは簡単です。パスワードの使い回しは止めましょう、長さは最低でも18文字、記号をランダムに入れてください、紙にメモしてはいけません…理論的には素晴らしいし、理想的でもあります。でも、実行できますか?皆、このとおりにしてくれるでしょうか?そうはなりません。付箋紙にパスワードをメモするのは止まらないでしょう。その紙をキーボードの下に隠すようにはなるかもしれませんが。

そこで私たちは、パスワード作成の「基」をいくつか作っておくことをお勧めしています。日常的には使われていない、自分にだけ意味が分かる複合語を「パスワードの基」として作っておき(例:meow!72!meow)、新しいパスワードが必要になったらこの語にキーワードを1つ追加してパスワードとし(例:oxygen-meow!72!meow)、キーワードと「パスワードの基」を連想させるような言葉を紙にメモしておく(例:アクアラング-ネコ)のです。

従来のサイバーセキュリティの観点からすれば、理想とは程遠いアドバイスです。セキュリティのエキスパートはそろって「パスワードの一部を書き残すように勧めるとは何事か!」と大声を上げることでしょう。しかし、実際のところ極めて実用的なのです。それに、皆が従うアドバイスこそが最高のアドバイスです。

適合性

トレーニングをどう日常業務に取り入れるかというのも、微妙な問題です。企業幹部の1人が「セキュリティ意識を向上させよう」と言い出したとき(こういう思いつきは、何らかのセキュリティインシデントが起きた後が多いものです)、誰かを担当に選び、これで従業員が皆仕事の手を止めてでもサイバーセキュリティに取り組むだろうと考えて安心してしまうことが往々にしてあります。

何が行われるかというと、講義です。高確率で、何かのトピックをまとめたものだったり、「サイバーセキュリティウィーク」の実施だったりすることでしょう。仕事をしなくて済むチャンスだと思う人も、納期間近でいらいらしながら参加する人もいて、ほとんど何も学ばずに帰る人もいるはずです。短時間で頭に詰め込める情報量は、それほど多くありませんから。

これが終われば従業員トレーニングは完了、To Doリストから削除できます。でも、本当の成果を得られるのでしょうか?トレーニングを真剣に受け止め、1~2週間くらいはフィッシングにひっかからないように受信メールを1通1通確認する人も、確かにいるかもしれません。しかし、1か月後には覚えているでしょうか?

当社では、一度にあまりたくさんの情報を詰め込みすぎないようにと考えています。レッスン、テスト、シミュレーションなど短いアクティビティを週に2~3回実施し、理解しやすい量の情報を、日常業務に取り入れやすいサイズで従業員に提供することにより、サイバーセキュリティの文化の基礎を構築するのがよいでしょう。

関連性と可視化

この点について、当社の姿勢ははっきりしています。私たちが相手にしているのは生身の人間であり、顔のないアカウントではありません。興味を持ってもらえなければ、すぐに忘れ去られます。だから関連性が高くなければならないのです。当社ではトレーニングをいくつかのレベルに分け、責任範囲が共通する従業員のグループに該当レベルのトレーニングを推奨しています。たとえば、金融機関を狙うサイバー脅威への対策に関するトレーニングを、バンキングシステムへのアクセス権のない人に受講させる必要はあるでしょうか?その一方で、経理担当者は、こうした脅威について深く理解していなければなりません。また、従業員が知っておくべきこととその理由を最初に説明してから、現場で役立つアドバイスをしています。

対話式シミュレーションにおいても、脅威に関する情報をただ与えるのではなく、実用的な専門知識を提供しています。広い範囲へのアクセス権限を持っているのに普通のトレーニングセッションへはあまり参加したがらない経営幹部に働きかけるには、これが一番良い方法かもしれません。

Kaspersky Interactive Protection Simulation(KIPS)は、単なる教育の一種ではなく、チーム作りのイベントととらえられています。 スタッフと協力して架空の企業を守ることにより、経営幹部は、なぜ自社が保護手段を必要としているのか、どこに費用をかけるべきか、自社の収益がどの程度サイバーセキュリティに左右されるのかを理解できるようになります。これはまたとない経験です。

サイバーセキュリティの文化を作るメリットや、セキュリティトレーニングの現代的かつ効果的な実施方法について考えているのはKaspersky Labだけではありません。分析会社も同様であり、たとえばForresterはセキュリティ意識の向上(英語)に関するレポートを発行しています。

ヒント