セキュリティ意識向上トレーニング

健全なセキュリティプログラムの重要な要素

「日本の脅威レポート」

セキュリティ意識向上トレーニングとは

従業員は組織の攻撃面の一部であり、脅威から組織と組織を守るためのノウハウを身に付けることは、健全なセキュリティプログラムにとって重要な部分です。 FISMA、PCI、HIPAA、Sarbanes-Oxleyなど、政府や業界のさまざまな規制に準拠する必要がある場合、規制要件を満たすために従業員にセキュリティ意識向上トレーニングを提供する必要があります。

 

組織で利用可能な内部セキュリティリソースと専門知識に応じて、セキュリティ意識向上トレーニングを実施するためにサードパーティへの依頼が合理的な場合があります。外部の支援が活用されるかどうかに関係なく、組織のリーダーは、セキュリティ意識向上トレーニングのプログラム構築に何が必要かを理解し、関与し、プロセス全体を通してフィードバックを提供する必要があります。

トレーニングの種類

組織には、それぞれの文化に最適なトレーニングのスタイルがあります。以下のようないくつかの選択肢があります。

  • クラスルームトレーニング:インストラクターは、プロセス全体を通して学習者の取り組み度合いを認し、それに応じた調整が可能です。また、参加者はリアルタイムで質問することが可能です。
  • オンライントレーニング:対面トレーニングよりも柔軟に規模を拡大可能で、学習者は自分の都合の良い場所からコンテンツに取り組めるため、従業員の生産性への影響を軽減できる可能性があります。学習者は自分のペースで教材を学習することも可能です。
  • 視覚教材:休憩室に貼ったポスターを、セキュリティ意識向上トレーニングの唯一の手段に位置付けることなど不可能です。しかし、効果的に利用すればリマインダーとして役立ちます。
  • フィッシングキャンペーン:フィッシング詐欺の体験ほど学習者の注意を引くものは他にありません。もちろん、フィッシングテストに合格しなかった学習者は、自動的に追加のトレーニングに登録される必要があります。

場合によっては、上記をいくつか組み合わせることが最適な選択肢となる場合があります。セキュリティ意識向上トレーニングは、1回限りの演習ではありません。特に組織の離職率が高い場合は、複数のメディアを介した定期的なセキュリティトレーニングが理想的です。

対象とする科目

対象とする科目を決定する際には、組織固有の脅威プロファイルも考慮する必要があります。トピックには次のようなものが挙げられるでしょう。

  • フィッシング:従業員は、疑わしいリンクと対話したり、なりすましページに資格情報を入力したりする危険性と、フィッシングを発見した際に報告する方法について教育を受ける必要があります。最近のフィッシングは、以前とは比較にならない程に巧妙化しています。トレーニングではスピアフィッシング、疑わしい電話、疑わしいソーシャルメディアアカウントからの連絡などを網羅する必要があります。他の同様な組織に影響を与えたフィッシング攻撃例を紹介することも役立ちます。
  • 物理的セキュリティ:物理的セキュリティ要件は、組織の性質によって異なる場合があります。企業はすでに物理的なセキュリティポリシーを導入しているはずなので、これは従業員に適用されるポリシーの一部(デスクの引き出しのロックやゲストのオフィスへの入室に関するルールなど)を確実に理解させるのに良い機会となります。トレーニングでは、さらにゲストバッジを身に着けていない建物内の人物や、公開されたままの機密データなど、物理的なセキュリティリスクを報告する方法も確認する必要があります。
  • デスクトップセキュリティ:適切なタイミングでコンピューターをロックまたはシャットダウンできなかった場合や、許可されていないデバイスをワークステーションに接続した際に発生しうる結果について概説します。
  • ワイヤレスネットワーク:ワイヤレスネットワークの性質を説明し、馴染みのないネットワークに接続した際に発生するリスクについて概説します。
  • パスワードセキュリティ:複雑なパスワードを要件にすることと、従業員に定期的にパスワードを変更するように促すためのトレーニングは既に実施されているはずです。しかし、パスワードセキュリティトレーニングは、パスワードの再利用、推測しやすいパスワードの使用、変更の失敗に伴うリスクを説明するために依然として重要です。すぐにデフォルトのパスワード。社内で利用が承認されているパスワード管理ツールもトレーニングの対象になり得ます。
  • マルウェア:マルウェアのトレーニングセッションでは、マルウェアの種類を定義し、マルウェアの能力を説明する必要があります。ユーザーは、マルウェアを見つける方法と、デバイスが感染した疑いがある場合の対処方法を学ぶことができます。

効果測定

トレーニングの効果を測定するプロセスを整備しておくことは非常に重要です。1つの方法としては、設問を設けることが挙げられます。トレーニング前の水準を測定するために、まず展開前に設問を実施しておく必要があります。また、トレーニング後にどの部分に対して変化があったのかも確認する必要があります。フィッシングの演習が定期的に行われる場合は、従業員の対応がセキュリティ意識向上トレーニングを受けた後に改善した(または悪化した)かどうかを追跡する必要があります。

科学的なアプローチではないかもしれませんが、時間とともに従業員が増え資産が追加されるにつれて、セキュリティインシデントの発生件数とその種類について、どのような傾向があったかを調ておくことで、トレーニングの影響をある程度判断することができます。また、行動の変化を判断するために、トレーニングの前後に、公開されたパスワード、ロック解除されたコンピューター、潜在的な物理的セキュリティリスクを調べるために、オフィスを巡回して実際に確認するのも良いかも知れません。

学習者の視点に対する考慮

セキュリティはセキュリティチームにとっては最優先事項かもしれませんが、他のチームにはそれぞれ別のゴールがあります。従って、時間を有効に使うために最善を尽くす必要があります。理想的には、トレーニングの内容を、すべての参加者の仕事に関連させられるように、従業員の役割に基づいてトレーニングをカスタマイズする必要があります。これにより、従業員は重要なことに集中し、できるだけ早く仕事に戻ることができます。また、ドメイン管理者などの組織のリスクの高いユーザーが、自分の仕事に関連するリスクと脅威に対処するために最適なトレーニングを受けることが可能になります。

従業員と共にポリシーとベストプラクティスを確認する際は、それぞれのポリシーが何故重要なのか常に説明する必要があります。ポリシーのコンテキストを完全に理解し、それが正しいことだと考えるようになってこそ、ユーザーは、高い確率でポリシーを遵守するようになるものです。たとえば、インターネットからランダムなソフトウェアをインストールするリスクは、巧妙に偽装されたランサムウェアがワークステーション上のすべてのファイルを瞬時に暗号化できることを知っていれば、はるかに理解しやすいでしょう。最後になりますが、従業員を名指しで怒鳴ったり、トレーニングについていけない従業員から傲慢な態度をしているように見られたりしないように心掛けるべきです。むしろ、チームリーダーは、誰もが気持ちよく質問をしたり、インシデントを報告したりできる環境作りに集中する必要があります。

トレーニング終了時に、ユーザーは、組織をリスクから守る方法をよく理解し、他のチームと協力して、積極的に、より安全な環境を構築していく気持ちになっている必要があります。トレーニングを成功させるには、組織固有のニーズと文化を理解することが重要なのです。