KnowBe4 Blog (JP)

ポリシーの作成から実践までのセキュリティカルチャーの醸成:セキュリティフレームワークの推奨事項

作成者: TOKYO, JP|Jul 30, 2024 11:00:00 PM
最近、ガバナンス、リスク、コンプライアンスに関する会議があり、私はその準備をしなければなりませんでした。以前はISO 27000の実装コンサルタントとして、また数年前には短期間ですがペイメントカード業界(PCI QSA)の監査官として、この分野に深く携わっていましたが、今回、久しぶりにこの分野に目を向けてみました。

さっそく本題に入りましょう。ほとんどの個人情報保護法やデータ保護法では、サイバーセキュリティプログラムをどのように運用するかその詳細は規定されていません。あまりにも具体的になることを避けて、サイバーセキュリティの要件は、「適切なセーフガードを確保する」、「継続的な機密性、完全性、可用性、耐障害性を確保する」といった一般的な規定や、同様の文言で示されています。そのため、セキュリティフレームワークやベストプラクティスが重宝され、「適切な」レベルの保護を達成する方法についてのガイドラインが提供されています。

ISO/IEC 27000シリーズは、組織が情報セキュリティマネジメントシステム(ISMS)の中で情報資産を管理・保護するために開発された一連の国際規格です。私がISO 27000の規格で常に気に入っているのは、リスクベースであることです。組織はどれだけリスクを許容できるかに基づいてセキュリティプログラムを調整します。コントロールを選択するときに、定義済のリストにチェックを入れるのではなく、組織毎に異なる固有のリスクに対処するように求めています。例えば、ある組織では、重大な物理的脅威に直面していない場合、物理的セキュリティに関連する対策の優先順位を下げ、より強力なネットワークセキュリティ対策を優先するといった具合です。

しかし、どのような組織においても、「人」という要素は、優先されるべき重大なリスクであることに、同意されるでしょう。これは、人が最も弱い鎖の環であるためではなく、ソーシャルエンジニアリング攻撃を受ける最前線だからです。ベライゾンの「2024年度データ漏洩/侵害調査報告書」で報告された侵害の68%には「人」の要素が関連しています。このため、セキュリティカルチャーと意識向上プログラムの構築は、あらゆるベストプラクティスやセキュリティ標準の重要な部分なのです。

セキュリティフレームワークの比較

一般的なセキュリティフレームワークやベストプラクティス標準の最新版が、人のリスクをどのように管理しているのかを把握するため、ISO、NIST、SANS Top 20について簡単に見返してみました。

以下の図に、人によるリスクを軽減するための方策をまとめました。

組織がガイダンスとして利用できるように簡単な要約を以下に示します。

最初にポリシーを作成する

セキュリティポリシーを作成し、すべての従業員と関連する外部組織に効果的に伝える必要があることは言うまでもないでしょう。ユーザー向けの利用ポリシー(AUP)を検討するときには、SNSの利用方法や、生成AIのチャットボットなどの新しいテクノロジーを責任ある方法で利用する方法について具体的に説明する必要があります。

ロールベースのトレーニング

トレーニングは、組織のさまざまな担当者の特定のロールと責任に合わせて調整する必要があります。当然ながら、トレーニングのコンテンツが受講者にとって関連性が深いほど、受講者はより真剣にトレーニングに取り組むようになります。例えば、コールセンターで働くユーザーには、会計や経理部門で働くユーザーとは異なるコンテンツやセキュリティガイダンスが必要になるだけでなく、異なるコミュニケーションやコンテンツタイプが効果的となる場合もあります。保護者向けのオンラインの安全対策など、個人にとって関連が深いコンテンツを提供することで、ユーザーはより高い関心を持つようになります。

定期的なトレーニングとアップデート

トレーニングセッションを定期的に実施することで、最新の脅威、ポリシー、手順を常に把握することができます。テストや模擬訓練を行うことで、学習効果を高めることができます。

模擬フィッシングキャンペーン

「習うより慣れろ」の原則に従って、模擬フィッシングシミュレーションを戦略的に活用すべきです。模擬フィッシングでは、安全で管理された環境で従業員が失敗から学ぶことができ、自己効力感を大幅に高めることができます。この方法では、フィッシングによる結果を理解できるようになるだけでなく、潜在的な脅威に対して従業員が注意深く慎重に対応できる能力を培うこともできます。3,200万人以上のユーザーを分析した結果、フィッシングテストを頻繁に実施すると、頻繁にトレーニングを実施する場合よりもセキュリティカルチャーに大きな影響を与えますが、トレーニングとフィッシングテストの両方を頻繁に実施すると場合に最も良い成果が得られることが明らかになっています。詳細については、KnowBe4のホワイトペーパーを参照してください。

記録の保存

コンプライアンス要件を満たしていることを証明し、進捗状況を追跡するために、すべてのセキュリティトレーニング活動の記録を保存しておく必要があります。

継続的な改善

新たな脅威に対処し、トレーニングセッションのフィードバックを取り入れるためには、セキュリティ意識向上トレーニングプログラムを定期的に確認して更新する必要があります。セキュリティカルチャーに関するアンケートやセキュリティ意識の習熟度評価を実施し、毎年または大規模なキャンペーンを開始する時に、弱点や優先して取り組む分野を特定することをお勧めします。

上記のステップに従ってセキュリティ意識を向上し、セキュリティカルチャーを醸成するプログラムを実施すれば、次回のコンプライアンス監査で優れた結果が得られるはずです。

影響力のあるセキュリティカルチャープログラムを作成して効果的に実施する方法についての詳細や実用的なヒントについては、セキュリティカルチャーの構築と強化に向けて取り組むときの7つの基本ステップを参照してください。

 原典:Anna Collard著 2024年7月10日発信 https://blog.knowbe4.com/from-policy-to-practice-security-culture-security-frameworks-recommend
完全な記事を表示