サイバーセキュリティにおける人的要因:従業員のミスを防ぐには

2017年7月18日

サイバー脅威から企業を保護するには、技術的な手段だけでは不十分である。Kaspersky Labは長年にわたり、この立場を取ってきました。情報セキュリティ部門の取り組みは、1人の従業員によって損なわれることがあります。このような人的要因が招くサイバーセキュリティのインシデントは、多くの場合、意図的なものと言うよりは、サイバーセキュリティに関する基礎知識の欠如、脅威に対する認識の不足、注意の散漫に起因します。こうした事情から、すでに多くの企業(当社のデータによると約65%)が、従業員に対するサイバーセキュリティトレーニングに投資しています。

とはいえ、事はそう簡単でない場合があります。従業員の意識向上が必要だと判断した人が、トレーニングの手配を担当する人とは限りません。意思決定をする人が問題をはっきり認めていても、手配にあたる人は、サイバーセキュリティトレーニングとは何か、従業員をどのように教育するべきかがわかっていない可能性があり、そもそもトレーニングが必要な理由を理解していないかもしれません。

ここから先は、あなたが従業員のセキュリティ意識向上を促進する立場にあると仮定して、この問題を共に考えたいと思います。

問題点を理解する

企業がサイバー脅威に対抗する中で、従業員はどういった役割を担うのでしょうか?これを明確にするため、Kaspersky Labは市場調査会社のB2B Internationalとの共同調査を実施しました。世界各地の5,000社を対象とした本調査では、サイバーセキュリティ関連のインシデントに関して個々の従業員がどのような問題となり、どういった影響を及ぼすと考えるか、企業の認識を探りました。結果を簡潔にまとめると、以下のとおりです。ここから、従業員が持つべきサイバーセキュリティ意識に絡む問題が浮かび上がってきます。

  • 2016年に発生したインシデントの46%は、従業員が意図せず、またはうっかりして、勤務先のサイバーセキュリティ侵害に関与したものでした。
  • マルウェアの被害を受けた企業のうち、不注意な従業員の関与がなければ感染は起きなかったかもしれないと答えた企業は53%、ソーシャルエンジニアリング(誰かが意図的に従業員をだます手口)が原因だとした企業は36%でした。
  • 標的型攻撃を受けた企業の28%は、フィッシングやソーシャルエンジニアリングが関与したと考えています。
  • インシデントが発生したとき従業員がインシデントを隠蔽しようとした、と回答した企業は40%に上りました。インシデントの隠蔽は、被害の拡大や、さらなるセキュリティ侵害につながる可能性があります。
  • 半数近く(47%)の回答者が、職場に持ち込まれたモバイルデバイスを通じて従業員がうっかり企業情報を漏らすのではないかとの懸念を示しています。

本調査の全文は、こちらからご覧ください。※レポート全文は英語です

サイバーセキュリティの意識を植え付ける

企業では、サイバー脅威による被害を避けるためのセキュリティポリシーを設定しているものです。しかし本調査では、実に44%の企業が、従業員がITセキュリティポリシーに従わないと回答しています。ルールはあっても浸透していない、という状況です。

例として、サイバーセキュリティ関連インシデントの隠蔽に関する問題を取り上げましょう。サイバーセキュリティ意識の向上を推進する立場として、従業員を集め、サイバーセキュリティのインシデントが起きたら報告することが大切なのだ、と説くことはできます。おそらく皆、口ではわかりましたと言いつつも、責任を逃れようと相変わらずインシデントを隠し続けることでしょう。ルールがあることだけでは十分ではないのです。

従業員に対してサイバーセキュリティのトレーニングを実施することが、この問題に対する1つの解でしょう。しかし、ルールの浸透を促す管理職や情報セキュリティ担当の側も、学ぶべきことがあります。単にルールを徹底するようにと伝えるのではなく、サイバーセキュリティ上のリスクを説き、ルールの必要性を明確に説明できなければなりません。

教えるべきことを理解する

企業が現代の高度なサイバー脅威に対抗するには、各部門がさまざまな業務を担いながら、1つの健全な有機体として機能する必要があります。当然ながら、学ぶべきことは部門に応じて異なります。経営陣は、リスクを認識し、予想される金銭的コストと風評被害によるコストを十分に把握していなければなりません。中間管理職と情報セキュリティ部門は、目前に迫る脅威を明確に認識することと、サイバー脅威に対する耐性を高めるための行動力が求められるほか、多くの従業員と適切に意思疎通を図る必要があります。一般従業員の場合は、脅威を回避するスキルを身に着けることのほうが、脅威に関する知識を得るよりも重要です。

Kaspersky Labは、受講者の勤続年数や業務内容に応じた意識啓発トレーニングプログラムをご提供しています。 プログラムの詳細については、こちらのページをご参照ください