ニューヨーク市警からセキュリティについて学べること

RSA Conference 2020のセッション一覧を眺めていたとき、『Tackling cyber-enabled crime at scale: Moving enforcement forward』（Kaspersky訳—サイバーを使った犯罪への大規模な取り組み：法執行の前進）と題する講演が目に止まりました。犯罪捜査ドラマ『ロー&オーダー』にはまっていてサイバーセキュリティ関係者でもある自分のような人間には、このタイトルは悪いハッカーが出てくるテレビ番組のリアル版のように映りました。舞台はニューヨーク市警察です。

講演者のニック・セルビー（Nick Selby）氏が披露した話は、興味深いものでした。ニューヨーク市はサイバー犯罪に関して大きな問題を抱えており、被害総額は9桁にもなります。デジタルネイティブからベビーブーム世代まで、あらゆる年代の人々がサイバー犯罪者の被害に遭っていると見え、その内容は電話詐欺あり、ランサムウェアあり、送金を助けてほしいと言ってくるナイジェリアの親族、さまざまです。

被害に遭った人はほとんどの場合、ニューヨーク市警に電話します。しかし、電話に出た警官はテクノロジー系の用語（Bitcoinなど）を耳にすると「それは管轄外ですね」という反応になってしまう、それというのも事が「サイバー」だからだ、とセルビー氏は指摘します。警官や刑事たちの頭の中では、サイバーの話はほかの機関の管轄になっていたのです。そのため、被害者に連邦捜査局（FBI）へ連絡するようにとアドバイスし、そこで話が終わっていました。

ニューヨークほどの規模の都市にとって、これは問題でした。セルビー氏にはそれが分かっており、彼の上司たちも同様でした。そこで、このような署内の文化を変え、サイバーセキュリティに関心を持つように警官たちを教育するという任務が、セルビー氏に与えられました。

この講演では、サイバー犯罪を食い止めるため、そして人々が苦労して稼いだお金を取り戻すのを支援するために警察チームが実施した活動の数々が語られ、私はすっかり引き込まれました。しかし、この話を私の言葉で再掲するのは無粋というものです。講演は録画されているので、興味のある方はぜひ以下のリンクから見ていただければと思います。（英語の講演です）

ところで、講演の中で引っかかるものがありました。それは「セルビー氏は、この文化に変化を促し、サイバーセキュリティへの関心を持つように警官たちを教育しなければならなかった」という点です。

セキュリティ関連のトレーニングを実施した経験のある人は、このような言葉を投げかけられたことがあるのではないでしょうか。

「経理部には関係ありませんよね」
「受付の人間には関係ないでしょう」
「僕はITサービスデスク担当だよ？セキュリティのことは分かってるって」

それと、私がオフィスで耳にする台詞の中でお気に入りのやつはこれです。

「えー、セキュリティ研修？また？」

私たちは皆、自分の仕事に必要だとは思えないことをしなければならなかった経験があります。ただ、サイバーセキュリティは何もかもに関連します。私は決してふざけているのではありません。その証拠に、一般的な職場での例を少しばかり挙げてみましょう。

• 経理部 — 経理部ではお金を扱っています。詐欺に遭って誤った口座に送金してしまうような事件は、Kaspersky Dailyでも折に触れて取り上げてきました。
• 受付 — 訪問先の企業で最初に会う人であり、入館を許可してくれる人です。来客用ゲストWi-Fiのログイン情報を渡してくれることもあります。来客を装い、よからぬ目的でハードウェアを社内ネットワークに接続しようとする人間がいることを考えると、受付の人にも自社を守る役目があるとは考えられないでしょうか？
• ITサービスデスク — コンピューターの修理やデバイスの管理をする人たちです。パワーポイント資料を別のコンピューターに移動しなければならないとき、USBメモリを支給してくれるのは？ITサービスデスクです。この部門がなければ、使われていないUSBメモリがその辺にないかと、社員がオフィスの中を探し始めるかもしれません。

私の言いたいことは伝わったでしょうか？厳密に言うとすべての従業員が攻撃経路なのですが、当の本人はそのように考えないものです。

ニューヨーク市警の例から学べること

企業のサイバーセキュリティトレーニングは、普通の会社員を相手に実施します。ニューヨーク市警のトレーニング対象は、警察官でした。しかし、両者の使命や課題はよく似ていました。トレーニングの指針についても同じです。彼らの取り組みは、私たちにも大いに参考になります。

• 簡潔にする。ニューヨーク市警の取り組みがうまくいった最大の要因は、おそらく、単刀直入で要領を得たトレーニングを実施したところにあります。トレーニングセッションに使用したスライドの数は、20枚未満に抑えられていたはずです。研修を行う場合には、なぜ関心を持たねばならないのか、どうすればうまくいくのか、明確に目的を示すようにしてください。
• 行動を促す。セルビー氏のチームが取った手段の中に、サイバー犯罪をコードするためのアプリを提供し、適切な捜査の推進を促すというものがありました。素晴らしい取り組みですが、だからといって企業もこのようなアプリを作成すべきだという話ではありません。代わりに、トレーニングを実践に生かせるような方法を探してみてください。何か不審なものを見つけた場合、どのように報告すればよいか？フィッシングメールを受信したとき、会社全体で受け取らずに済むようにするにはどうすればよいか、あるいは、このメールをどこへ転送すればよいのか？具体的なアクションの実践を促しましょう。
• 結果を示す。ニューヨーク市警では測定できるものをすべて測定しますが、この取り組みに伴い「サイバー」関連の測定も始めました。その結果、警官たちは、自分たちの活動によって担当の行政区での犯罪捜査数が実際に増えたことを確認できるようになりました。また、問題の規模や、自分の果たした役割がサイバー犯罪との戦いにどう貢献したかについても知ることができるようになりました。企業に勤める人々は犯罪と戦っているわけではありませんが、彼らがサイバー犯罪を意識することがどれほど会社に貢献しているのかを示すことはできます。たとえば、ランサムウェアによる攻撃が9件阻止された、今年は200通のフィッシングメールを回避できた、などの情報を定期的に共有するのも良いかもしれません。

トレーニングは高度に技術的なものである必要はなく、お金をかける必要もありません。あなたが持つ専門知識を共有することが、組織の大きな変化につながります。

参考までに—英語版ではありますが、Kasperskyでは、サイバーセキュリティについて学べるオンラインのセルフラーニングプログラムを提供しています。無料で利用できますので、興味があればご覧ください。