リスクベースで行う社内セキュリティ教育の前提知識
IT・情報セキュリティ
最近、有名企業におけるサイバー攻撃被害のニュースが多くなってきたことを受けて、弊社ではセキュリティ対策の一環として、社員へのセキュリティ教育を強化することになりました。有効性のある教育を行うためには、どのような考え方に基づき実行すべきでしょうか。
従来の情報セキュリティ教育は、ISMSやプライバシーマークの認証取得およびその維持を前提とした「コンプライアンスベース」の教育が多く見られました。
ところが、サイバー攻撃の急速な深刻化に対して、既存の認証規定の要件はほとんど追いついていません。そのため、従来の概念や枠組みの中でセキュリティ強化を行っても十分な効果は期待できなくなりました。
したがって、今後の情報セキュリティ教育は、被害を与える要因の影響を明確にする「リスクベース」で設計することを推奨します。
解説
目次
2020年に急増したサイバー攻撃の手口
コロナ禍により、一時的に経済活動が停滞したことで、影響を受けたのは企業や個人だけではありません。サイバー犯罪者にとっても、「以前までの標的や手口でサイバー攻撃をしにくくなった」ことなどにより、一時的に(2020年4月)サイバー攻撃被害が少なくなりました 1。
一方、多くの企業はリモートワークを増やし、オンラインによる業務を拡充しました。これにより、社員が遠隔からログイン情報(資格情報)だけでシステムにアクセスする機会が増えました。サイバー犯罪者はこの変化に目をつけ、過去の漏洩データやSNSから入手できる個人情報を利用したと思われるフィッシング(なりすまし)詐欺やマルウェア感染などにより、ログイン情報を盗む行為を増加させています。
これを裏付けるような注意喚起として、個人情報保護委員会から、「テレワークに伴う個人情報漏えい事案に関する注意事項」(令和2年9月23日)が公表されています。そこでは、新型コロナウイルスの影響によりテレワークの利用が広がるなかで、実際に確認された個人情報漏えい事案の個別事例が紹介されています。
事業の継続性を重視したサイバーレジリエンスの考え方
以前より、情報セキュリティを推進する行政機関から「事故前提社会」や「機能保証」などのキーワードを伴った戦略や行動計画の文書が公表されていますが、残念ながら企業全体への周知や対策強化が行われているとは言い難いところがあります。
一方で、最近では、サイバー攻撃により被害企業の事業が停止してしまう状況が発生しています。そこで、サイバー攻撃の発生に備えて、準備、対応、および回復する組織の能力を意味する「サイバーレジリンス」の強化が求められるようになっています。
行政機関からの文書では、サイバーレジリエンスを「回復能力」と言い換えているところが見られますが、これは誤った認識を与える可能性があります。サイバーレジリエンスの概念は「プロセス(それぞれの主体者の⾏動の組み合わせと流れ)」を重視するものです。実際には、複数の部門が緊密に連携しながら、発生したインシデントの影響を抑制しつつ、攻撃中および攻撃後の事業の継続性を保証するという適宜の統制とバランス配分が求められます。つまり、組織に司令塔を必要とするものです。
コロナ禍で理解が進むサイバー衛生(Cyber Hygiene)
海外に多くの拠点を持つ一部の⽇本企業は、「コンプライアンスベース」から「リスクベース」へのサイバーセキュリティ対策への切り替えを急いでいます。それだけ直面せざるを得ないサイバー脅威に対する危機感が高まっていることを意味しています。
「リスクベース」のセキュリティ対策を設計するうえで、さまざまなキーワードが出ており、情報システムの領域では「ゼロトラスト(Zero Trust)」が注目されています。これについては、「Zero Trust Architecture Technical Exchange Meeting | NCCoE」における議論が参考になります。この会合は、社内ネットワークをインターネットとの境界で守れない前提に立ち、すべてのアクセスを信頼せずに検証する仕組みを目指す「ゼロトラスト」について、さまざまな課題や官民間のギャップに対処し、実装に向けた準備を推進することを目的としたものです。
システムの利用者に着目したセキュリティ対策としては「サイバー衛生(Cyber Hygiene)」が有力視されています。これは、社会の衛生管理と同様に、組織や社員1人ひとりに対して、IT環境や個人のITデバイス(PC、スマートフォンなど)、ネットワーク接続の環境を健全な状態に保つよう推奨する取り組みを行い、セキュリティ意識を醸成する対策です。
現在、私たちはコロナ禍における感染症対策として⼿洗い、普段の健康管理、部屋の換気、マスク着用、咳エチケットなどが強く求められています。この取り組みを客観的に眺めると、まず専門家による徹底的な状況把握と分析が⾏われたうえで、有効性が期待できるルールなどが策定されるとともに、国家のトップ層が国民に対して強いメッセージの発信を繰り返していくことで周知徹底と行動変容を図ろうとしています。
サイバー衛⽣に基づいた企業の取り組みは、このような衛⽣管理と同様のプロセスを踏んで、社員の行動変容を実現させるものです。
サイバー衛生(Cyber Hygiene)に基づいた対策プロセス
- (経営層に報告する役割を持つ)情報セキュリティ部門が、社内のすべての部門の情報セキュリティ対策について人的および技術的対策の両方を把握し、発覚していない(潜在化している)セキュリティインシデントの有無を徹底的に調査。もっとも効果のあるルール案などを策定します。
この際、情報セキュリティ部⾨は、すべての部⾨に対して相対的に強い権限と実務能⼒を有している必要があります。こうした権限等はCSIRT(Computer Security Incident Response Team)が担っていることもありますが、全社横断ではなくIT部門のみにCSIRTが設置されている場合は、権限が弱いことが多いため、実効性が低くなりがちですので留意が必要です。 - 経営層が、情報セキュリティ部門などに積極的に報告を行わせ、その内容に対する客観的理解に努め、現場に寄り添った判断と指示を行います。その際、経営層自身の経験や知識によるバイアスの影響を受けないように配慮する必要があります。
また経営層は、報告を待つという受け身の姿勢ではいけません。受け身の姿勢は、危機感の欠如の表れとなり、その判断や指示は、現場の混乱を招くことになります。その配慮として、財務諸表作成時における誤謬の回避と同じような努力も必要となります。経営層は、⼤きな船の舵取り役です。 - 経営層およびその一部権限を代行する情報セキュリティ部門が、すべての社員に対して、強いメッセージを「繰り返し」発信しながら周知徹底します。このメッセージは、社員の行動変容を生み出すことを目的としたものです。1回限りの発信で望ましい状態にすることは期待できません。
心理学における「忘却曲線」によると、人間の記憶は、1日のうちに74%もの記憶が失われるとされています。そのため、その人間に影響を与えることができる者が、繰り返しメッセージを発信することが必須となります。
リスクベースで設計するセキュリティ教育の留意点
「リスクベースで設計するセキュリティ教育」は、その前提として、経営層から社員に対する強いメッセージが社員1⼈ひとりに浸透していなければなりません。
多くの社員は、与えられた業務に専念しており、会社全体を⾒通すことが難しい⽴場にあります。そのため、会社が直面しているサイバー脅威を感覚的に捉えることは難しく、従来のセキュリティ教育では、必要性や有効性を感じないところで、知識と対策事項を単に覚え込む作業と捉えてしまうケースが多く見られました。またその直接的な対策として、教育直後の確認テストが行われるようになりました。
従来のセキュリティ教育は、情報セキュリティの脅威の高まりが緩やかで企業への波及が限定的であった昔の時代において、「コンプライアンスの仕組みづくりを任された部⾨」が、その役割を果たすという意味では有効性はありました。しかし現在、これは、会社全体をサイバー脅威から守ることとは同義ではなくなりました。
そのため、いま社員に対するセキュリティ教育において重要となるのは、サイバー衛生を強化することと言えます。従来の考え方やプロセスに基づいた「情報セキュリティの強化」に取り組んでいる有名企業ほど、深刻なサイバー攻撃を受けていることに注意を向けてください。一方、従来型のセキュリティ対策にすら取り組んでいない企業は、サイバー攻撃を受けていることにも気づけず、提携や契約している他の企業に不利益を与え始めています。
社員がサイバー脅威を認識して行動変容を行うきっかけは、社員自らの情報収集や理解努力ではありません。経営層による強い言葉からにじみ出る会社を守る姿勢であることを認識する必要があります。
-
HACKMAGEDDON 「2020 Cyber Attacks Statistics」(2021年1月13日) ↩︎
株式会社サイバーディフェンス研究所