セキュリティ意識向上トレーニングについて一つ言える確かなことは、効果的な測定がトレーニングプログラムの成否を左右するということです。残念ながら、セキュリティ意識向上は技術的なセキュリティコントロール製品に比べて予算の優先度が低いことが多くなっています。そのため、指標を正しく定めて情報セキュリティ最高責任者 (CISO) や他の関係者に適切に伝えることで以下の結果が得られます。
- 継続的に賛同を得る
- セキュリティ意識向上トレーニングプログラムをやり直す時間とストレスをなくす
プログラムがどのように構成されているかにより、上層部の持つ関心が大きく違ってきます。意識向上プログラムの目的が主にコンプライアンスであれば、「トレーニング完了」欄にチェックマークを入れれば終わりです。意識向上および行動に関する指標がある組織では、多くの従業員が参加し、シミュレーションでのクリック率や報告率といった指標が算出されます。高度なプログラムを実施し、さらに細かな指標を設けている組織もあります。具体的に説明します。
セキュリティ意識向上に必要な指標を測定する
Gartner の 2021 年セキュリティ意識向上マーケット ガイドには、「フィッシングテストの『クリック率』以外の追加情報セキュリティ指標を使用してプログラムの成功を判断すること」と書かれています。これについてはまったく同感です。セキュリティ意識向上の最重要指標としてフィッシングシミュレーションのクリック率に的を絞るようになったお客様が、とても多くいらっしゃいます。スタート地点としては良いですが、欠点も数多くあります。
図 1Very Attacked People™ とは、Proofpoint TAP (Targeted Attack Protection) から得られる情報で、あなたの組織で数多くの危険な種類の攻撃を受信するユーザーを指します。このようなユーザーに対して、的を絞った教育活動の回数を増やすことで、効率的にリスクを低減することや、プログラムを促進することができます。
まず、クリック率は使用したテンプレートの平均失格率(AFR)によって、また送信先となる対象者によって大きく変化します。プログラムが高度になると、Very Attacked People™ (VAP) のようなさまざまな対象者にさらに的を絞ったテンプレートを検討する必要があります。そのため、クリック率は変化しますが、従業員が「危険な行動を避けている」ことがわかるだけで、「するべきことをしている」かどうかはわかりません。
業種別の平均失格率、報告率およびレジリエンス値
図 2プルーフポイントが 2021 年に発行した『State of the Phish』では、平均的な「レジリエンス ファクター」、つまり報告率をクリック率で割ったものが示されています。組織はレジリエンス ファクター 14 倍を目指す必要があります。
フィッシングメール アドインを使用した報告率のような指標を含めると、ユーザーが攻撃を回避していることだけではなく、自ら行動し、会社を守るために「するべきことをしている」ことを示すことができます。
目安として、フィッシングシミュレーションでのフィッシング報告率 70% 以上、クリック率 5% 未満を目指してください。これでレジリエンス ファクターが 14 倍となります。
スコア計算サマリー: 報告されたメールの正確性
報告されたメールの正確性スコアは、過去 90 日間にプルーフポイントの全顧客から報告されたメールの正確性の平均と比較した、あなたの組織の過去 90 日間の成績に基づいて算出されます。
| 報告されたメールの正確性比較 | |
|---|---|
| あなたの組織の正確性 | 43% |
| 顧客の正確性の最低成績 | 0% |
| 顧客の正確性の最高成績 | 100% |
図 3新機能である CISO ダッシュボードには、さまざまなプログラム領域と、プルーフポイントの他の顧客と比較したあなたの百分位数の順位が表示されます。コンテキストも表示されるため、改善すべき領域に焦点を当てることができます。
もう少し掘り下げてみると、セキュリティ意識向上プログラムが現実のセキュリティに与える影響を理解することは重要であり、啓発的でもあります。たとえば、ユーザーがメッセージを報告したとします。それは害のないものでしょうか、悪意のあるものでしょうか。
プルーフポイントでは、自社の脅威検知スタックを使用してユーザーが報告するメールを評価します。悪意のあるメールがどれだけ報告されているのか、またその件数を他の顧客と比較した結果をお見せすることができます。
図 4セキュリティ意識向上の影響はコンプライアンスとシミュレーションの指標に留まりません。現実のクリック率の低下、悪意のあるメッセージの報告、人に起因するセキュリティ インシデントの低減により、セキュリティ全体を改善することができます。
また、次のような、人を中心としたセキュリティの影響を収集できる場合を考えてみます。
- 成功したフィッシング インシデント
- 既知の悪質なコンテンツのクリック率
- 認証情報不正アクセス
- インサイダーインシデント
- マルウェアやランサムウェアに起因するマシンの修復
これにより、こういった主要な指標が低下したのは意識向上プログラムを実施した結果であることを証明できます。そして、今後投資を増額してもらうこと、またプログラムが行動を変化させ、文化を作り上げている様子を見せることができます。
ユーザーの脆弱性を理解する
図 5 CISO ダッシュボードのユーザーの脆弱性セクションでは、成果の低いユーザーと参加率の低いユーザーが示されます。 Proofpoint TAP (Targeted Attack Protection) で VAP となっているユーザーのデータも統合され、脆弱性がさらに可視化されます。
意識向上プログラムの拡張に賛同を得ることが困難な場合があります。関係者はユーザーがトレーニングに時間をかけすぎているのではないか、あるいはユーザーがセキュリティ意識向上の練習に飽きてしまうのではないかと心配します。
プルーフポイントのとある顧客は、より脆弱なユーザーに注目し、そのユーザーに注力するという方法をとりました。そうすることで、関係者はこうしたユーザーについて教育の接点を追加することの意義と、必要とされる教育はユーザーによって違うということを認識できます。関係者に賛同してもらう良い方法です。
CISO と主要な関係者に効果的に伝える
プルーフポイントの毎年恒例のセキュリティ意識向上イベントである Wisdom 2021 で、恐怖、不安、疑念 (FUD) が過剰に使用されていることに多くの参加者が言及していました。セキュリティ リーダーに説明する際、FUD では効果はあまり期待できません。
では、セキュリティ意識向上の成果について CISO やその他関係者にどのように伝えればよいのでしょうか。重要な属性が 2 つあります。量的要素と質的要素です。
量的スコアについて話すとき、コンテキストを与えるうえで重要なのが、全体的な成果と、他との比較です。可能であれば、「クリック率」というマイナスの指標だけではなく、プラスの指標にも焦点を当てましょう。たとえば、
- フィッシングシミュレーションの報告数が多いユーザー
- セキュリティ意識向上ナレッジの改善
- 現実の悪質なメッセージをユーザーが適切に報告するようになった
- セキュリティ意識向上アクティビティに参加するユーザーの増加
プルーフポイントの新しい CISO ダッシュボードならこれを簡単に実現できます。各領域でどの百分位数の範囲に自分がいるのか、またそのスコアが全体でどのように変化したのかを示す成果と参加のスコアをご利用いただけます。全体のスコアは自分の位置が一目でわかるシンプルな表示になっており、信号機のようなアイコンにより、改善するために焦点を当てるべき領域を把握できるようになっています。
図 6セキュリティ プログラムのスコアサマリーを使うと、プログラムの成果を速やかに CISO に報告できます。
量的な要素も重要ですが、質的な話をユーザーから聞き取ることも同じく重要です。たとえば次のようなものです。
- ユーザーが現実の高度なフィッシング攻撃を阻止したか
- 意識向上プログラムでユーザーの前向きな感想が得られたか(メールエイリアスの設定や簡単なフィードバック アンケートの送信を考える)
- エグゼクティブ スタッフや組織内でよく知られた人がセキュリティ意識向上について周囲と何らかの情報共有をしたか
このような話を量的データと組み合わせることで、セキュリティ意識向上が単に必要とされるコンプライアンス活動というだけではなく、ユーザーが行動を変化させていること、またユーザーがリスクを深く理解して会社を守れるようになるに従って企業文化も活発に変化していくことを説明できるようになります。
セキュリティ意識向上プログラムを適切に構築し、成功の情況を測定する方法を、詳しくご覧になりませんか?プルーフポイントのオンデマンド ウェビナーをご覧いただくか、セキュリティ意識向上 eBook をお読みいただき、組織でセキュリティ文化を構築して維持するベストプラクティスをご確認ください。