今こそ、セキュリティ対応力の見直しを
サイバーリスク低減に向けた社内教育・啓発のススメ

サイバー攻撃に終わりはなく、高度化・変化を絶えず繰り返している。サイバー犯罪者は企業の中で守りが弱い部分を突こうとする。それはシステム上の脆弱性であり、組織的・人的なウィークポイントだ。だからこそ、技術対策の強化と併せて、脅威に対抗する組織力を底上げすることが必要とされる。そのために何をどうするのが適切なのか──。組織のセキュリティ対応力を強化する施策について考察する。

多様化する従業員を狙う攻撃

2016年は企業を狙うサイバー犯罪が猛威をふるった一年といえる。身代金要求型ウイルスのランサムウェアや標的型サイバー攻撃など、企業を脅かす犯罪の大多数が、メールで従業員を罠にかけることを攻撃の起点としている。世界各国で深刻な法人被害をもたらしているビジネスメール詐欺(BEC:Business Email Compromise)も、メールで従業員を罠にかけ多額の金銭を窃取しようとする犯罪だ(図1)。

こうした攻撃の罠に企業の誰か一人でもかかれば、組織全体が大きなダメージを被るリスクがある。それを抑制する上では、組織全体が脅威に対する理解や警戒心を持つことが重要となる。

もちろん、サイバー犯罪者も人であり、失敗から学ぶ力を持ち、攻撃対象がなかなか罠にかからないと判断すれば、より巧妙で複雑な攻撃を繰り出してくる。また、その組織の従業員、しかも一部の関係者しか知らない情報を入手し巧妙な騙しのメールを仕掛けてくる標的型サイバー攻撃のような例もあるため、従業員がいくら注意を払っても、サイバー犯罪者の罠にかかるリスクを100%排除することは至難だ。したがって、脅威に対する組織全体の理解を深めながら、一方で、脅威の侵入を前提にした技術による施策と、万が一の有事への備えを組織的にも整えておくことが必要となる。

図1:ビジネスメール詐欺のメール例(トレンドマイクロが作成したサンプル)

経営幹部や取引先になりすまし、偽の送金指示を出す。社長/幹部などからの緊急、極秘といった指示に偽装することで従業員心理を巧みに利用し騙す。ビジネスメール詐欺では、こうした人の心理的な隙を突くソーシャルエンジニアリングが多用される。

教育・啓発の始めの一歩

では、企業におけるセキュリティの担い手は、組織全体のセキュリティの向上に向けて、何から着手すべきなのだろうか──。

その始めの一歩は、セキュリティ対策上、自組織に何が足りていて何が不足しているかをしっかりと把握することだ。こうすることで、技術と組織の両輪でいかにして自社のウィークポイントを補うか、サイバーリスクを低減していくかのプランを立てることが可能になる。

とはいえ、自社のセキュリティ対策のレベルを正しく把握するのは簡単ではない。そこで、トレンドマイクロでは、「セキュリティ対策度診断ツール」を無償で公開している。このツールに設定された質問に答えていくだけで、技術的課題だけでなく、体制や教育といった組織面で自社に何が不足し、具体的にどんな取り組みを実施すればいいかを把握することができる。

継続的な取り組みでリスクを減らす

どのような教育・啓発の施策が有効かは、組織の文化・風土にかかわる問題であり、画一的な答えは存在しない。ただ、こうした組織的な取り組みにおいてポイントとなってくるのは、取り組みがどれだけ徹底できているか、定期的に、あるいは脅威の流行などのタイミングで随時実施できているかになる。

しかし実態を見ると定期的な注意喚起や教育を実施しているケースは、全体の3割程度に留まっているのが現状だ(図3)。

継続的で根気強い教育、啓発が有効だとわかっていても、脅威の変化・複雑化が激しい今日では、教材の準備にも相応の時間と手間がかかる上、専門知識も必要だ。日常のIT業務と並行し、対応していくことは難しい場合もあるだろう。

こうした場合に、参考にしていただきたいのがトレンドマイクロが無償提供している社内教育のための各種コンテンツである。実際、これらのツールを従業員のリテラシー向上やセキュリティ担当者の実践力を高める上で有効活用している企業も多くあるのでお勧めしたい。

従業員を狙った攻撃が多様化し、その被害もビジネスを揺るがす大きなものになりかねない現在、外部のコンテンツなども取り入れて、業務で取り扱っている情報が組織にとっていかに重要なもので、それが侵害された場合には組織にとって大きなダメージになるという理解を浸透させ、適切な対応を徹底させることが欠かせない。

図3:組織的対策の実施状況

トレンドマイクロ「法人組織におけるセキュリティ対策実態調査2016年版」

トレンドマイクロが提供するセキュリティコンテンツ

インターネットセキュリティナレッジ「is702」──

セキュリティの基礎をクイズや漫画で解説

基本的な知識や最新セキュリティをニュースや解説形式の読み物で分かりやすく紹介するほか、マンガやクイズといった初心者も取り組みやすいコンテンツを豊富に掲載。コンテンツはイントラ等でも活用でき、従業員に常にセキュリティの情報に触れさせることで意識の向上につながるほか、理解の確認や徹底にはクイズの活用も効果的だ。

啓発ビデオ──

ドラマ仕立ての動画でリスクを解説

標的型攻撃編、SNSのリスク編など最新セキュリティリスクをまとめた各5分程度のビデオ。従業員がどのように狙われるのか、どのような行動がリスクになるのか、ドラマ仕立て分かりやすく解説している。オンラインでの視聴のほか、集合研修の一コンテンツとして、映像によるインパクト、わかりやすさで参加者の注目/関心を集めるのにも有効。

セキュリティ・ブログ──

専門家による最新脅威と対策の解説

今警戒すべき脅威を専門家がいち早く発信。国内動向はもとより、海外の脅威で今後世界、日本での流行が懸念される脅威情報も発信。セキュリティ担当者はおさえておきたいサイトだ。

IoT Security Headlines──

IoTセキュリティの最新情報をタイムリーに提供

IoT(Internet of Things、モノのインターネット)セキュリティに関連する最新ニュースや事例、専門家による解説など様々な情報をまとめて収集できる。

インシデント対応ボードゲーム──

模擬演習で対応力を高めるゲームキット

組織のインシデント対応者を対象にボードゲーム形式で訓練を行う教材。ゲーム内で起こるインシデントに対して、プレイヤーがそれぞれの立場・視点で議論しながら、対応方針を決定する。平常時に部門横断の模擬演習を行い、課題をあぶり出すことで、インシデントに備えることが重要だ。

この他、トレンドマイクロではIT 部門向けにも様々な情報を発信している。専門家による分析、監修の最新情報やコンテンツを有効に活用いただきたい。

記事公開日 : 2017.08.29
 この記事は、公開日時点での情報です