〜ソーシャルエンジニアリングの実践的な演習を明確に規定〜
東京 – ITおよび情報セキュリティに携わっている人なら、NIST(米国標準技術研究所)の名前を聞いたことがあるでしょう。実際に、同研究所が発行するNIST 800シリーズは、セキュリティ意識向上トレーニングを含む、セキュリティ・プログラムのほとんどの側面を実行するための要件指針として広く知られています。また、独立行政法人情報処理推進機構セキュリティセンターがNISTの認定を受けて、NIST Special Publication 800-53 Revision 4の日本語版をリリースしています。昨年9月にRev.4からRev.5へ改訂されました。
今回の改訂での第一のポイントは、これまでは米国連邦政府情報システムおよび連邦組織のためのセキュリティ管理ガイドラインでしたが、情報システムおよび組織のためのガイドラインとなっており、米国連邦政府だけでなく、より一般に活用できるガイドラインとしてセキュリティ管理要件を規定した点です。セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーであるKnowBe4の日本法人「KnowBe4 Japan合同会社」は、今回の改訂で追加されたセキュリティ意識向上トレーニングに関して新たな指針の要点を日本企業のために要約します。
<今回の改訂で追加されたセキュリティ意識向上トレーニングの新たな管理要件>
管理要件強化
(1) リテラシー・トレーニングとセキュリティ意識向上トレーニング|実践的な演習
リテラシー・トレーニングの一環として本番さながらの実践的な演習を提供し、セキュリティ・インシデントをシミュレーションする。
管理要件内容: 実践的な演習には、個人情報の収集、不正アクセス、悪意のあるメール添付ファイルの開封など、事前通知なしのソーシャルエンジニアリング攻撃を試みること、さらには標的型フィッシング攻撃によって悪意のあるWebサイトへのリンククリックを引き起こさせ、実際に起こり得る悪影響をシミュレーションすることを含める。
関連の管理要件: CA-2、CA-7、CP-4、IR-3
この管理要件強化について、KnowBe4のセキュリティエクスパートは次のように要約しています。
- セキュリティ意識向上の演習テストを "No Notice: 通知なし "で行うことを規定している。ユーザーがテストを受けるべきであるという事実を認識していても、テストの詳細については通知されない。
- フィッシングテストは一面的であってはならない。リンクのクリックを回避できたかだけが問題ではない。社員の行動を多面的にテストすることで、ソーシャルエンジニアリング攻撃の誘導、例えば、認証情報を入力してしまったか、悪意のある添付ファイルをダウンロードしていないか、マクロを有効にしてしまったかなどをテストすることである。
- 高度に細工された標的型のスピアフィッシング攻撃も含める。真に組織を標的とする脅威の担い手は、時間をかけて適切な偵察を行い、強力な攻撃を仕掛けてくる。そのためのテストである。
今回の改訂では、NISTは、ソーシャルエンジニアリングのシミュレーションテストは、 現実の脅威を反映したものでなければならず、そのような脅威に対する自社の影響力を正しく理解する必要があると言及しています。
本要約は、KnowBe4本社発行のPerry Carpenter著2021年3月12日付け Security Awareness Training Blog https://blog.knowbe4.com/nist-updates-you-should-be-aware-about に基づいて日本企業のセキュリティ対策強化のために記述されています。
KnowBe4 Japan合同会社、日本代表マネージングディレクターである根岸正人は、今回のセキュリティ意識向上トレーニングに関して新たな指針について次のようにコメントしています。「KnowBe4の使命は、お客様の従業員がよりスマートなセキュリティ上の意思決定を毎日行えるようにすることです。過去10年間、模擬ソーシャルエンジニアリングテスト、魅力的なコンテンツ、そして最先端の自動化運用を可能にする仕組みを組み合わせてこれらを実現してきました。模擬ソーシャルエンジニアリング攻撃の演習を実践的なシミュレーションで実施することの重要性が、NISTによって正式に認められたことは心強いことであり、今後もお客様の最後の防衛壁の強化(Human Firewallの形成) に貢献していきたい。日本企業の現状として、残念ながら、多くのお客様はいまだに訓練メールを実施していない、また、実施しても、年に1回という限られた回数に留まり、しかも外部に影響を与えないため明らかに訓練と読み取れる訓練メールを送信している。これでは、費用と時間をかけてもその効果を生み出せないままです。今回、NISTが提示したセキュリティ意識向上トレーニングに関する新たな指針は、日本企業の情報セキュリティ部門、経営企画部門においても大いに参考になると考えています。」
KnowBe4についてさらに知りたい方は、www.knowbe4.jpをアクセスしてください。
<KnowBe4について>
KnowBe4についてKnowBe4は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2020年10月現在、 3万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。また、日本においては、2019年11月にKnowBe4社の100%出資日本法人「KnowBe4 Japan合同会社」を東京都港区に設立し、2020年2月1日付けで日本代表マネージングディレクター根岸正人が就任し、日本国内での本格的な販売及びマーケティング活動を開始しました。 https://www.knowbe4.jp/
