人の信念と行動は文化の重要な柱となります。日本やドイツでは、歩行者は安全のために信号を待ち、道路を渡ります。欧米では飲食する時に音を立てることはタブーとされますが、日本をはじめアジアの一部では、美味しいということを示す表現です。
このように意識は、その国の文化を形作ります。
では、セキュリティ意識向上プログラムがどのようにユーザーの意識を変化させ、その行動と信念を組織にとって望ましいものに変化させるのか見てみましょう。
ユーザーは問題かソリューションか
情報セキュリティ部門によるユーザーの認識から考えてみましょう。情報セキュリティ部門では、多くの場合ユーザーをまず問題として捉えます。これは、2019 Verizon Data Breach Investigations Report (DBIR、2019年 Verizon データ漏洩/侵害調査報告書) で、侵害の 94% が人を標的とした攻撃によるものであると判明していることからも理解できます。たしかに、ユーザーが攻撃を発動させさえしなければ、情報セキュリティ部門の負担は著しく軽減されるでしょう。
そして、時間はかかりますが、そのような世界観を変えることが、ユーザーとプログラムに対する管理者の考え方を変えるための重要な第一歩なのです。この変化を起こすことは可能です。教育を受けたユーザーが「ユーザーは問題である」という従来の見方を一転させ、その行動を肯定的なものに変化させた、というお客様が多数いらっしゃいます。
メールとの関わりが必ずしも悪いわけではない
セキュリティ意識向上トレーニングのお客様のほとんどがトレーニングメニューの中で最初に取り上げるのは、最大の脅威経路であるメールです。そこでユーザーが教わるのは、ごく大雑把にいえば、開くな、クリックするな、ダウンロードするな、誘いに乗って返信するな、ということです。正規のメールだと思った場合でも、受信したものは必ず検証したうえ、特にアクションを起こさないというものです。
お客様のプログラムで使用されるツール
このようなプログラムでは、こうしたメールをユーザーが悪意のある可能性があると考えた場合、回避する以外にどう対処するかについてはあまり聞くことがありません。プルーフポイントの 2020 年 State of the Phish を見ると、メール レポーティング ツールをセキュリティ意識向上プログラムで使用している組織はわずか 15% だけであり、このようなツールの活用についてユーザーの全体的な意識は低いままであることが分かります。
簡単なワンクリック メールレポーティング アドインをユーザーに使用してもらうことによる効果はいくつかあります。どうしてよいかわからない場合にすぐさま手を止め、危険と考えられるメッセージを適切なチームに任せて調査を進めてもらうことができます。このツールにより、報告の中にヘッダーその他の情報を含めるようユーザーに求めるなどの最初のやりとりを簡素化できるほか、すでに過度の負担がかかっているインシデント レスポンス チームに代わって一連のメッセージを作成することもできます。
Proofpoint CLEAR (Closed-Loop Email Analysis and Response) で企業文化を育てる
ユーザーに不審なメールを報告してもらうのは素晴らしいことですが、その行動を強化するためにはフィードバックを返すことが不可欠となります。そのために最も効果的な方法は、プルーフポイントの Proofpoint CLEAR ソリューションでご利用いただける自動対処 & 自動応答です
ユーザーがメッセージを報告すると、内蔵された脅威インテリジェンスと専用の URL および添付ファイル サンドボックスがメッセージを分析して分類します。この分類に応じて、Proofpoint CLEAR ワークフローはカスタマイズされたメッセージをエンドユーザーに返信し、自分が報告したメッセージがどのような種類 (スパム、バルク、悪意のあるメッセージなど) だったのか知らせ、協力に対する感謝を伝えます。
特に、リモートワークをするようになった従業員を IT チームが休みなく守っている状況では、この時間の節約はひときわ重要となります。あるお客様は、フルタイムのインシデントレスポンス担当者 1 名の 3 年分に相当する 34 万 5000 ドルの節約を実現しました。これについては、Forrester Total Economic Impact™ レポートで詳しくご覧いただけます。
プルーフポイントのお客様は、このワークフローがインシデントレスポンス チームとユーザーにもたらすメリットを実感していらっしゃいます。
「ボタン 1 つで Outlook からフィッシングを報告することで全従業員を IT セキュリティチームの一員にする力と、不正判定された場合には全従業員のメールから削除する機能は極めて強力です。」
ユーザーが報告したものについて最終的な答えとフィードバックを返すことで、ユーザーは自分の信念を強固にし、悪意のあるメッセージを識別するスキルを磨くことができます。そして、IT 部門にとって、十分なトレーニングを受けたユーザーは今まで以上に的を絞った高度な攻撃に対する重要な資産となります。
さらにこれを一歩先に進めるために、お客様の多くは四半期や月単位でコンテストや表彰を行い、ユーザーに賞品を贈り感謝を表しています。このように、正しい行動を表彰するというポジティブな方法により、セキュリティ意識の高い文化に対する従業員の信念と行動が大きく促進されます。
セキュリティ意識向上の価値を関係者に伝える
もう一つ、文化における重要な要素に、コミュニケーションがあります。前述したメールの報告と修復のループを実施することで、情報セキュリティチームには、他と共有できる新しい指標が手に入ります。情報セキュリティ担当者が、フィッシング攻撃シミュレーションに対するユーザーの脆弱性に関して「クリック率」や「失格率」の話をするのをよく耳にします。しかし今、情報セキュリティ部門には、伝えるべき新しい重要な指標として「報告率」ができました。
プルーフポイントの 2020 年 State of the Phish を見ると、報告率はクリック率よりも変動が大きいことがわかります。このことから、追跡して関係者と共有するのに適した指標であるといえます。また、フィッシングメール攻撃シミュレーションの報告率が 70% を超える組織もあります。これは、危険なビジネスメール詐欺攻撃とスピア フィッシング攻撃に対する脆弱性を大きく低下させうる、驚くべき成果です。
報告率により、クリック率や失格率といったネガティブな指標ではなく、ユーザーの耐性やスキルといったポジティブな指標を関係者に示すことができます。また、情報セキュリティ部門は、ユーザーから報告された標的型攻撃が、教育を受けた意識の高いユーザーにより阻止された、という話を関係者にすることができます。関係者やユーザーと対話して、組織はユーザーによって保護されていると伝えることで、プログラムの価値を高め、強固で自然なセキュリティ意識の高い文化を構築することができます。
さっそく、セキュリティ意識の高い文化の構築を始めましょう。Proofpoint CLEAR ソリューションの詳細についてはこちらをご覧ください。