私はセキュリティ意識向上トレーニングの普及のためには社内にセキュリティの「チャンピオン制度」を設けることを勧めています。チャンピオン制度とは、社内の同僚が「セキュリティの伝道役」として自発的に立ち、フィッシングやソーシャルエンジニアリングなどのリスクを自分ごととして伝え、望ましい行動を実演し、現場の声を集めて還流させる取り組みです。動画やクイズ、ポリシーを補完する有効な手段です。
「フィッシングリンクをクリックしないように」と教育動画で学ぶのと、隣の同僚から「フィッシングリンクをクリックしたらこうなったんだよね」と直接聞くのとではまったく違います。同僚と会話をすることで、実際に何が起き、再発を防ぐためにどのような対策を取っているのかまで具体的に学べます
社内のセキュリティチャンピオンは、同僚の悩みや課題に耳を傾け、効果的な対策を日々の業務の中で実演します。これらは、上司からの厳しい警告や教育動画よりも大きな影響を与えることができます。
とはいえ、一人ひとりに個別の支援を行うのは効率的ではありません。常にそばで「それはクリックすべきか否か」を助言する人にだけ給料を払うわけにもいきません。そのため、多くの組織は、KnowBe4のような多くのコンテンツを備えたセキュリティ意識向上プログラムを利用しています。ただし、教育やメッセージをもう一押しする目的で、チャンピオン制度を併用するのは有益な取り組みです。
私の経験談
私自身、忙しい時期に、フィッシング訓練で立て続けに失敗したことがあります。自分でも信じられませんでしたが、初めてのクリックから3度ほど立て続けに失敗してしまいました。
かなり落ち込みました。ただ、当時の同僚に時間を取っていただき、私の近況を聞いたうえで、失敗したテストを一緒に振り返ってくれました。すると、すべての失敗に共通する「感情的なトリガー」が見えてきたのです。同僚から「手間はかかるけれど、数週間この方法を試してみて」と提案されました。
それ以来、一度も失敗していません。
別の組織でも、実際のフィッシング攻撃が相次いでいました。ある研修動画で、一人の同僚が自分がフィッシング被害に遭った体験を語りました。ただの同僚ではありません。彼は会社で最も頭が切れる人物の一人でした。しかも相手は国家レベルの攻撃者でした。
彼は、なぜ引っかかったのか、どんなサインを見落としたのか、そして数時間が過ぎてから「もしかしてやられたかもしれない」と疑い始めた経緯まで共有しました。恥ずかしさはあったものの、念のためと報告したところ、それが実際の攻撃であり、彼が報告してくれたおかげで組織内での侵害拡大を阻止できたのです。会社で一番聡明な人物でも引っかかるのなら、私たちも例外ではないと強く実感しました。
成熟したチャンピオン制度は、複数のリソースを連携させてヒューマンリスクに取り組むという組織の姿勢そのものを伝えます。メッセージを発信するのが一人ではなく、組織に支えられたチームであることが重要です。
Nestlé Purina PetCareのアンバサダー制度
私がこれまで見てきたチャンピオン制度の中でも特に優れていると感じたのが、Nestlé Purina PetCareでITセキュリティ&コンプライアンスマネージャーのHeather Reed氏が運営するアンバサダー制度です。
Purinaでは、チャンピオンに相当する参加者を「アンバサダー」と呼んでいます。各部門(主に製造以外)に少なくとも1人、合計で約5,000人の社員に対して65人がアンバサダーに任命されています。
アンバサダーは毎月集まり、社内へ発信するメッセージを検討し、策定します。たとえばMFA、Windows Hello、USB接続のブロック、パスワードマネージャーの利用など、組織全体で取り組んでいるセキュリティ施策について同僚を教育します。Heather氏は社内広報チームと連携し、メッセージが最適化されるようにしています。これにより、良好な関係構築と組織全体へのコミュニケーションの質も向上しました。
さらに重要なのは、コミュニケーションが双方向であることです。未承認のクラウド利用や、本来アクセスできないデータへのアクセス試行など、アンバサダーは自身が所属する部門の業務で見つけた課題を定期的にHeather氏へ伝えます。これが、セキュリティとコンプライアンス意識を高めるタイムリーな双方向のコミュニケーションを生んでいます。
アンバサダーは、自分自身の失敗談も共有します。Facebook上の詐欺など、私生活での被害もこの場で共有します。自分自身の弱さを見せることで、同僚がサイバーセキュリティを日常の延長として捉えやすくなります。個人の助けになるだけでなく、組織にとってもプラスです。
さらに、約4分の1のアンバサダーは、組織へのさらなる貢献と自身のサイバーセキュリティ経験の蓄積を目的に、「ストレッチアサインメント(業務の幅を広げる挑戦的な任務)」を希望しています。将来社内でサイバーセキュリティのポジションが開いたとき、現場を知る即戦力が得られるのは大きなメリットです。
Purinaのアンバサダー制度は成果も明確に示されています。アンバサダーのいるグループでは、フィッシング攻撃の試行が20%多く報告され、受講率は100%、模擬訓練のクリック率は約50%低下しました。これだけでも、まだ導入していない組織がチャンピオン制度を検討する十分な理由になります。
アンバサダーは、同僚の間で頼れる身近なセキュリティの相談役となり、重大な事案はHeather氏が介入します。怪しい兆候をすばやく見つけ、早期に報告できる接点がもう一つ増えることの価値は計り知れません。
当初はHeather氏が声をかけていましたが、いまは社員の側から「アンバサダーになりたい」と手が挙がるようになりました。
高い業務負荷の中でも、同僚や会社のためにもう一役買いたいと申し出る社員が生まれていること自体が、制度の意義を物語っています。
外部監査でも、アンバサダー制度は組織の大きな強みとしてたびたび言及されます。CEOを含む経営陣の全面的な支援も得ています。
そして何より大切なのは、制度に参加する人たちが幸せで、楽しんでいることです。私が参加して登壇した1日のセキュリティイベントでは、笑顔のアンバサダーで会場がいっぱいでした。義務感で選ばれ、居心地の悪そうなチャンピオンを見かけることもありますが、Purinaではまったく違いました。HHeather氏は手作りクッキーを用意し、参加者同士で小さなお菓子を分け合い、ギフトやスワッグ、表彰も次々と行われました。体験談と成功事例が相次ぎ、Purinaが「正しいやり方」で取り組んでいることが伝わってきました。
ヒューマンリスクを下げるためには、既存のセキュリティ意識向上プログラムに加える形で、ぜひチャンピオン制度を始めてください。より優れた制度を目指すなら、Heather氏とPurinaのアンバサダー制度が良い手本になります。
私は冗談半分で、Heather氏に「他社のチャンピオン制度構築を支援するコンサル会社を立ち上げられるのでは」と伝えました。彼女は微笑んで私にクッキーを渡しながら「このプログラムとチームにとても満足しているの」と答えてくれました。
原典:Roger Grimes著 2024年11月19日発信 https://blog.knowbe4.com/purinas-champions-program-is-the-best-i-have-seen