人は、新たな境界線となります。誰もが標的になる可能性があり、誰もがたった一度の不注意や悪意ある行為で、組織のセキュリティ体制を損なう可能性があります。ほとんどのセキュリティリーダーは、この現実を理解しています。しかし、彼らが本当に知りたいのは、この状況を逆転させ、組織の最大の攻撃対象領域を重要な防御層に変える方法です。
つまり、組織に合わせてカスタマイズした体系的かつ持続可能なセキュリティ文化を構築し、行動変革を促す必要があるということです。
そのためには、セキュリティ意識向上トレーニングへの取り組み方を大きく変える必要があります。レポートのデータを考慮してみましょう。当社のレポート「2022 State of the Phish」によると、99%の組織がセキュリティ意識向上トレーニングプログラムを実施しているにもかかわらず、社会人の55%しか「フィッシング」という言葉の意味を理解していません。フィッシングがここ数年、サイバー犯罪の最たるものであることを考えると、これは確かに心配なことです。
セキュリティ意識向上トレーニングの目的は、悪質なリンクのクリックや会計情報の漏洩、フィッシング詐欺などに対するセキュリティ上の成果を上げることですが、多くのプログラムでは、継続的な変化を促していません。毎年数時間のトレーニングを受けただけでは、ほとんどのユーザーが長期的にセキュリティに対する考え方を身につけることはできません。しかし、強固なセキュリティ文化を構築することでそれが可能になります。
セキュリティ文化(Security Culture)とは?
持続可能なセキュリティ文化を持つ組織では、従業員は、自分や同僚がセキュリティ事故を防ぐために行動する責任があると感じています。サイバーセキュリティがなぜ重要なのかも理解しています。そして何より、従業員は行動する権限を与えられ、疑わしいものを見たり、誤った行動をとったりしたときに、セキュリティチームに気軽に連絡できると感じています。
Proofpointの新しい電子書籍「Beyond Awareness Training」では、2019年にMITの研究者であるKeman HuangとKeri Pearlsonが初めて概説したセキュリティ文化の定義を紹介しています。彼らは、セキュリティ文化を「サイバー攻撃から組織を守り、防衛するために従業員の行動を促す信念、価値観、態度」と表現しています。当社はこの定義に賛同しています。
セキュリティ文化を構築し、それを組織の中核的な企業文化に根付かせるには、セキュリティに対する人々の考え方を変える方法を見つけることが必要です。私たちの電子書籍が説明するように、最終的には、次のようなセキュリティ文化を構築することが目標です。
- 全体的かつ継続的 - 従業員は常に学習し、防衛における自分の役割を理解しているため、積極的かつ警戒しながら行動している。
- 部門横断的な支援者をもつ - セキュリティ文化へのサポートが、最高レベルを含む組織全体に浸透している。
- 期待値の設定と維持 - セキュリティポリシーが、文化的規範を推進するために設計(および施行)されている。
セキュリティ文化のメリット
堅牢なセキュリティ文化を構築し、それを維持することで、組織全体のセキュリティ体制が向上し、俊敏性と回復力が高まります。従業員はセキュリティインシデントの防止を支援する責任を感じ、セキュリティチームは脅威への対応とインシデントの解決に迅速に取り組むことができるようになります。
また、リスクを低減することもできます。リモートワーク、クラウド移行、個人所有のデバイスの使用などが増加する中、サイバーリスクは急速に高まっています。強固なセキュリティ文化は、安全でないユーザーの行動をより効果的に変えることができます。なぜなら、従業員は、サイバー脅威が組織の成功にとって重大なリスクであり、個人的にも影響を与える可能性があると考えるからです。
痛みのないコンプライアンスも大きなプラス要素です。データのプライバシーと保護に関連する政府規制や業界標準のコンプライアンス違反により、組織に罰金やその他のペナルティ(と頭痛の種)をもたらす可能性のあるユーザーの誤操作を減らすことができます。
セキュリティ文化を構築するための課題
セキュリティ文化を築くのは簡単ではありません。時間、労力、リソース、そして全社全体のサポートに多大な投資を必要とすることは事実です。電子書籍「Beyond Awareness Training」では、強固なセキュリティ文化を構築しようとする際に、セキュリティリーダーが直面しがちな主な課題として、次のようなことを挙げています。
- 上層部からの賛同を得る
- 投資対効果(ROI)を定量化する
- なぜユーザーが関心を持ち、積極的に参加すべきかを理解させる
これらは困難な課題ですが、決して乗り越えられないものではありません。ここでは、これらの障害を克服するための戦略について簡単に説明します。
経営陣のセキュリティ意識を高める
まず、一般的なセキュリティインシデントを想定したシナリオを作成することで、経営陣のリスクに対する意識を高めることができます。経営陣は、攻撃がビジネスに与える影響、組織内のどのユーザーが最もリスクが高いか、またその理由は何かを理解する必要があります。また、ランサムウェアキャンペーンのような実際の(そして実際に破壊的な)攻撃を体験するような机上演習を行うことも、目を見張らせる方法です。そして、ハードデータは、最終利益重視の経営陣にアピールすることができるというメトリクスも忘れてはいけません。
セキュリティコストと労力を正当化する
ハードデータや最終利益について言えば、財務部門の予算決定者の考えを変える必要がある場合、情報漏えい時に発生する平均総コストは424万ドル(Ponemon Instituteのリサーチによる)であることを指摘してください。
労力に関しては、手動のセキュリティプロセスを自動化し、リスクを低減しながら時間とコストの節約を実現するソリューションを探しましょう。セキュリティチームに、より強固でカスタマイズされた継続的なセキュリティ意識向上トレーニングを管理するためのリソースが不足している場合は、セキュリティ意識向上トレーニングのマネージドサービスを利用して、その負担を軽減することを検討してください。
ユーザーにとってのセキュリティの重要性を伝える
なぜセキュリティが重要なのかを説明しなければ、ユーザーがセキュリティに対する考え方を身につけることは期待できません。組織内の多くの従業員は、セキュリティを自分の仕事の一部と見なしていないか、積極的に防御するために特別な努力をすることの価値を認識していない可能性があります。
ユーザーのリスクプロファイルを表示することで、自分ごと化できるようにします。また、社外の「現実世界」で起きているインシデントについても、定期的に情報を提供します。例えば、新聞紙面を賑わすようなデータ流出について、特にあなたの業界に影響を与えるものであれば、情報を共有するようにしましょう。
そして最後に、その情報や学習がなぜユーザーにとって個人的に価値があるのかを明確にする方法でプログラムを構成します。セキュリティ意識の向上は、大切な人を守るために、自宅を含め、どこでも活用できることを強調してください。
強力なセキュリティ文化を構築する方法
行動、態度、信念が、組織のセキュリティ文化を定義します。そして、文化が十分に醸成されると、ユーザーの次のような行動や考え方が明らかになります。
図 1. 強力なセキュリティ文化の特徴 (出典: Proofpointの電子書籍「Beyond Awareness Training」)
持続可能なセキュリティ文化を構築し、その成果を経営陣に売り込むためのヒントについては、当社の電子書籍「Beyond Awareness Training」をダウンロードしてください。セキュリティ意識の向上に関する従来のトレーニングにとどまらず、最大の攻撃対象である従業員を重要な防御層に変えるセキュリティマインドセットを組織に浸透させなければならない理由についての説明をご覧ください。