セキュリティ意識向上トレーニング

大まかにいえば、セキュリティ意識向上トレーニングとは、組織のセキュリティが確保されるよう各個人が一定の習慣を理解して従うようにすることを目標とするトレーニングです。その意味では、セキュリティの必要性を軍に当てはめて考えた場合など特に、セキュリティ意識向上トレーニングは事実上ずっと以前から存在し続けてきたことになります。

現在、セキュリティ意識向上トレーニングは情報セキュリティ、中でもサイバーセキュリティに重点を置いています。情報技術が急激に進歩し、それと同時にサイバー犯罪者による技術革新も進むことから、従業員やエンドユーザーは定期的かつ具体的なトレーニングを受けて、オンラインで安全を確保し、自分と組織の情報を守る方法を身につける必要があります。

この記事では、セキュリティ意識向上トレーニングについて紹介し、さらに組織がそれを利用する理由、何年にもわたりどのように進化してきたのか、またサイバー攻撃やその他セキュリティ違反の脅威低減にどのように役立つかなど、その重要性を説明します。最後に、効果的なセキュリティ意識向上プログラムを構築するためのいくつかのツールを紹介します。

サイバーセキュリティ意識向上トレーニングは、フィッシング攻撃およびソーシャルエンジニアリングがもたらす深刻なサイバーセキュリティ脅威を最小限に抑えるうえで、決定的な役割を果たします。通常、トレーニングの主なトピックとしては、パスワード管理、プライバシー、メール/フィッシング セキュリティ、Web/インターネット セキュリティ、物理的セキュリティと職場でのセキュリティなどがあります。

また、セキュリティ意識向上トレーニングはビジネス的にも理にかなっています。Aberdeen Group のレポート「Security Awareness Training: Small Investment, Large Reduction in Risk (セキュリティ意識向上トレーニング: 小さく投資、大きくリスク低減)」で取り上げられています。研究者は企業のセキュリティ担当リーダーとのワークショップを開き、セキュリティ意識向上とトレーニングに投資する理由を調べました。調査結果は以下のとおりです。

• 91% はユーザー行動によるサイバーセキュリティのリスクを低減するため
• 64% はユーザー行動を変えるため
• 61% は規制要件に対処するため
• 55% は社内ポリシーに従うため

この統計が示すように、一部の組織では社外または社内の要件に従うため必要に迫られてセキュリティ意識向上トレーニングを行っています。しかし、同レポートによると、このトレーニングは財務的にも理にかなうものであり、「セキュリティ意識向上トレーニングへの増分投資により、フィッシング攻撃のリスクを年率に換算した中央値は約 50% 減少し、年間投資収益率の中央値は約 5 倍になっている」とのことです。

サイバーセキュリティ意識向上トレーニングの中心的な概念は新しいものではありませんが、主流として認識されるようになったのは比較的最近のことです。それを示すものの一つが 2004 年に立ち上げられた全米サイバーセキュリティ意識向上月間です。主導したのは全米サイバーセキュリティ アライアンスと米国国土安全保障省であり、ウイルス対策ソフトウェアの定期的な更新などの習慣化を促進することで、オンラインでの人々の安全とセキュリティを向上させることを目的としています。

それ以来、意識向上月間は他の国々での同様のイベントに影響を与え、テーマと内容を拡張し、各種業界や政府、また大学、非営利団体、一般の人々にわたって参加を増加させました。

セキュリティ意識向上トレーニングの焦点、方法、効果は年月とともに大きく変化してきました。2004 年には、ほとんどのプログラムはコンプライアンスの必要性、つまり規制要件を満たすことだけが実施の理由でした。現在では、サイバーセキュリティ意識向上トレーニングが組織のリスクを管理し低減する手段として見られるようになるなど、その焦点も移り変わっています。

その過程で、トレーニング方法自体も成熟してきました。2004 年には、対面のトレーニング セッションと長期のコンピューターベースのトレーニングのどちらであっても、年次発表を目的とするのが大方の考え方でした。残念ながら、長時間で、開催の頻度が低いこのセッションでは、期待された知識の定着には結び付きませんでした。徐々に各トピックに関する短期の集中したトレーニングに切り替わることで改善は見られましたが、それでもまだトレーニング開催の頻度は低く、知識は時とともに薄れてしまいました。

2014 年ごろになると、セキュリティ意識向上トレーニングは教育と改善を繰り返し行うものに変化し、プログラムにアセスメントとトレーニングが継続的なサイクルで組み込まれるようになりました。ごく最近考え出されたのは「ジャストインタイム」かつ「コンテキストに沿った」トレーニングであり、安全でない Web の閲覧など、エンドユーザーが示した不適切なサイバーセキュリティ行動に対応してトレーニングを立ち上げられる機能が追加されました。

現在、情報セキュリティ プロフェッショナルはプルーフポイントの 2019 State of the Phish™ Report (フィッシング脅威の全容) で見られるように、エンドユーザーのトレーニングにさまざまなツールを使用しています。主流であり、人気が高まり続けているツールは、コンピューター ベースの意識向上トレーニングです。

• 79% はコンピューター ベースの意識向上トレーニングを使用しています
• 68% はフィッシング シミュレーション エクササイズを使用しています
• 46% は意識向上キャンペーン (動画とポスター) を使用しています
• 45% は対面でのセキュリティ意識向上トレーニングを使用しています
• 38% は毎月発行されるお知らせまたはニュースレターを使用しています

優れた設計のトレーニング プログラムは多くの場合こうしたツールのいくつかを利用します。同じように重要なのは、進捗を経時的に追跡し測定できるよう、このようなツールを体系的かつ組織的な方法で展開することです。

プルーフポイントの非常に効果的なトレーニング ソリューションは、学習科学の原則を念頭に設計された継続的トレーニング方法を利用して、ユーザーの学習意欲を高め、行動を変化させます。

プルーフポイントが学習科学の原則を採用した方法は、カーネギーメロン大学で行われた研究で効果が証明されています。

プルーフポイント独自のケーススタディと結果のスナップショットは説得力のある結果を示しています。

95%

ある金融機関では 2 年間でマルウェアとウイルスが 95% 減少し、サイバーセキュリティ脅威の意識が向上したことを記録しました。

90%

米国北東部にある大学の報告によると、マルウェアとウイルスが大幅に減少、フィッシング攻撃による被害が 90% 減少、サポート要求が大幅に減少、インシデントと攻撃を報告するユーザー数が増加、またセキュリティ問題の意識が向上しています。

89%

セキュリティ意識向上とトレーニングのプログラムの中心にアセスメントと教育のモジュールを利用することで、従業員のフィッシングへのかかりやすさが 89% 低下して、組織にメリットがもたらされています。

80%

セキュリティ意識向上トレーニングにより、市の職員の年間平均クリック率が 80% 低下して、高度な振り込め詐欺攻撃を阻止することができました。