サイバー脅威に対するレジリエンス(耐性)を強化するために、ヒューマンレイヤー(人的防御層)への対策は欠かすことのできない重要な要素である
Perry Carpenter(ペリー・カーペンター)
KnowBe4チーフエバンジェリスト兼ストラテジーオフィサー
今、セキュリティ侵害は多くの企業や団体で発生しています。こんな時に、こんな会話が関係者の間で幾度となく繰り返されます。
A氏:「あの会社、どうもフィッシング攻撃にやられたようだよ。」
B氏:「セキュリティ意識向上トレーニングは実施してなかったの?」
A氏:「実施していたのですよ。」
B氏:「それなのに、攻撃を受けたの?しょうがないね。フィッシングリンクに引っ掛かった従業員がいたのだから、トレーニングは明らかに失敗だね。」
A氏:「人は脆弱すぎて、セキュリティ意識向上トレーニングに効果はないね。テクノロジーをもっと強化しないとなあ。」
さて、このような会話では、フィッシングメールが従業員の受信ボックスに配信されるまでにすり抜けたテクノロジーレイヤーのことを完全に見逃しています。リンクがクリックされた後でも同じことが言えます。実際に脅威が影響を及ぼすまでに、多くのテクノロジーレイヤーが脅威を防止するのに失敗しています。では、セキュリティ侵害を許したファイアウォールについても、セキュリティトレーニングと同じように撤廃するように提案するつもりでしょうか?脅威を検出できなかったエンドポイント検出機能や、セキュアメールゲートウェイについても同じことをするつもりでしょうか?そうはならないはずです。
では、何故、セキュリティ意識向上トレーニングを存続するか・撤廃するかの極論に至ってしまうのでしょうか。ここには、サイバー攻撃対策として人的防御という側面が抜け落ちているという落とし穴があります。
ここで考えていただきたい。ほとんどのサイバー攻撃が「人」の心理的な弱点を突くソーシャルエンジニアリング攻撃から始まっていることです。それにもかかわらず、これまで十分に人的側面に対する投資されていなかった事実です。ここには、サイバー攻撃がテクノロジーの問題、つまりIT部門の問題として考えられてきた歴史があります。また、セキュリティテクノロジー担当者とセキュリティ教育担当者の力関係も作用していると思われます。
そして、もう1つ考えていだきたいことは、サイバー攻撃によって企業が受ける損害は小さな問題ではないことです。この問題は、今や、IT部門の問題ではなく、企業経営にも影響を与える問題であることを認識すべきことです。
この答えは、サイバー脅威へのレジリエンス(耐性)、言い換えれば、サイバーレジリエンスを考えることにあるとKnowBe4は考えています。ここにきて、優れたセキュリティリーダー達は、サイバーレジリエンスの観点から、テクノロジー防御対策と人的防御対策の2本立てで、進化し続けるサイバー脅威に立ち向かうようになってきています。このようなセキュリティリーダーは、セキュリティスタックのテクノロジーレイヤーに対するアプローチと同じように、このヒューマンレイヤーの潜在能力を最大限に引き出す方法を模索し、ヒューマンレイヤーを分析、監視、強化してきています。さらに、何よりも大切なことは、人的要因から生まれた過去のインシデントを教訓にしています。
セキュリティ意識(アウェアネス)とセキュリティカルチャー(セキュリティ文化)の違い
セキュリティリーダーが学んだか過去の教訓の中で、極めて重要なことがあります。それは、セキュリティ意識(アウェアネス)の問題点と限界です。セキュリティアウェアネス(意識向上)トレーニングとセキュリティカルチャーという2つの考え方は、混同されることが多くあります。これらの概念は関連していますが、同じではありません。脅威とその対応について単に「認識」していることをセキュリティカルチャーだと考えている方が多くいます。
確かに、セキュリティ意識を向上することは強固なセキュリティカルチャーを構築するために欠かすことできませんが、これはパズルのピースの1つに過ぎません。意識していることは、実際に脅威に対応できることとは同じではありません。セキュリティについて何かを知っている(意識している)ことは、頭の中の知識が蓄積されることに過ぎません。これらの知識をさらに活かすためには、情報をしっかり記憶しておき、環境や状況に合わせて適切に解釈しなければなりません。
一般の従業員の立場で考えてみると、セキュリティのプロフェショナルでない従業員(自分)が、どうして自社のセキュリティに注意する必要があるのか?自分の業務で忙しい中で、なぜさらに責任を負わなければならないのか?といった疑問を持つ方もいるでしょう。このような場合に、セキュリティカルチャーが重要や役割を果たします。単にセキュリティを認識することから、組織全体のセキュリティカルチャーへと移行させることで、このような疑問に対して共通する答えを従業員が理解できるようになります。私は、人の考え方、信念、行動、知識が絡み合った組織全体の基盤がカルチャー(文化)だと考えています。カルチャーは、従業員が会社でどのように行動し、運用されている仕組みをどのように支援するかにつながっています。組織のセキュリティカルチャーが強固であれば、責任を共有しようとする気持ちが生まれ、連帯感のあるコミュニティが作り出されていきます。
強固なセキュリティカルチャーを醸成するには
企業文化に例えると、多くの場合、トップダウン型の擦り込みによって形成されます。つまり、好むか、好まないかによらず、「信じる」ことから生まれていますが、「人」の本質を考えると、「人」は難しいと思ったり、好きではないと思ったりしたことは、自ら率先して行動に移すことは、強制されない限り、ありません。
強固なセキュリティカルチャーを形成するために、セキュリティリーダーが過去の教訓から学び、様々な手法を採用しています。例えば、セキュリティトレーニングとシミュレーション(模擬訓練)プログラムでゲーミフィケーションを取り入れている組織があります。このような組織は、これまでの古い意識向上トレーニングを、従業員同士が切磋琢磨できるトレーニングに変更し、トレーニングを通じて従業員間で交流できるようにしています。従業員はフィッシングを検出する能力を互いに競い合うことができます。また、フィッシングを報告する体制を次のレベルに引き上げている組織もあります。このような組織は、従業員がフィッシングの疑いがあることを報告すると、セキュリティチームはそれが本当の脅威かどうかを確認します。実際の脅威であった場合には、他の従業員の受信ボックスから脅威となっているメールを削除し、フィッシングメールを無害化して、トレーニング用のメールを作成するツールを使用しています。このようなケースでは、脅威を報告した従業員は組織を守り、確認された脅威が他の従業員に影響するのを未然に防ぐことに貢献しています。
セキュリティカルチャーを醸成している組織では、フィッシング対策はゲームではなくなっており、従業員は、自分が組織を保護するために大切な役割を担っていることを理解しています。従業員は成功体験を同僚や上司と共有でき、適切に対応できることに誇りと自信を持っています。また、従業員は、充実感を得ながら組織を保護するために行動できるようになり、単に意識していることから、実際に脅威に対応することが可能になっています。
セキュリティカルチャーを醸成するときには、組織全体における特定の行動パターンと価値判断の基準を作り出す必要があります。サイバー脅威へのレジリエンスを強化しなければなりません。強固なセキュリティカルチャーを構築すれば、結果として、必然的に組織のセキュリティスタックに新たなレイヤーが追加されます。ヒューマンレイヤーは、非常に大切ですが、ヒューマンレイヤーは一度構築すれば終わりというわけではありません。エンドポイントの脅威検出、ファイアウォール、メールゲートウェイなどの他のレイヤーと同じように、ヒューマンレイヤーも進化させ、刻々と変化するサイバー脅威の環境に対応できるようにしなければなりません。ヒューマンレイヤーは失敗することもあれば、脆弱な部分もありますが、決して諦めてはなりません。
「人」の要素を取り入れた包括的なセキュリティスタックの進化
ファイアウォールに問題があると、ファイアウォールの再構築を目指し、問題点を確認し、同じ問題が再発しないように投資するでしょう。セキュリティにおける人の要素についても、技術的な要素と同じように時代とともに進化させる必要があります。セキュリティを強化するためには、このような対策が必要となります。
セキュリティスタックにおけるヒューマンレイヤーで問題が発生し、従業員が悪意のあるリンクを何度もクリックするようなことがあっても、決して感情的になって叱咤しないでください。失敗から学び、脅威への対応を強化することが大切です。セキュリティ意識向上トレーニングを実施するだけでなく、セキュリティカルチャーを醸成して強化することが必要です。
例えば、次のような取り組みを進めましょう。優れた行動には褒賞を与え、できる限り罰則は設けないでください。豊富なトレーニングコンテンツで従業員が積極的に参加できるようにしてください。従業員が競争し切磋琢磨できる環境を作りましょう。楽しく学んでください。最終的に、実際に脅威に対応できるようにすることが目標です。強固なセキュリティカルチャーには、何百ものテクノロジーレイヤーとヒューマンレイヤーが含まれます。これらのレイヤーのすべてに欠陥があるかもしれませんが、すべてが重要な役割を担っているのです。
原典:Perry Carpenter(ペリー・カーペンター)著 2023年9月15日 https://www.darkreading.com/vulnerabilities-threats/how-to-transform-security-awareness-into-security-culture