セキュリティ意識向上トレーニング(SAT)から行動変容を生み出すために - 情報だけでは人の行動を変えることはできない
東京(2023年7月5日発)- セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォーム(*)のプロバイダーであるKnowBe4(本社:米国フロリダ州タンパベイ、創立者兼CEO:Stu Sjouwerman (ストゥ・シャワーマン))は、サイバー攻撃の急増と高度化に伴いセキュリティ意識向上トレーニング(SAT)への注目が集まるなか、ホワイトペーパー「Critical Considerations When Evaluating Security Awareness Training Vendors」を日本語に翻訳し、セキュリティ意識向上トレーニング(SAT)ベンダー選びで7つのポイントを公開しました。
日本企業を標的とするサイバー攻撃は、増加の一途を辿っています。これに伴い、多くの日本企業や団体がセキュリティ意識向上トレーニング(SAT)を注目するようになってきています。今、日本市場では、様々なセキュリティ意識向上トレーニング(SAT)プログラムが提供されるようになってきています。KnowBe4 では、最近多くの日本企業や団体からSATプログラム選択のポイントについて問い合わせをいただいています。これに応えて、KnowBe4米国本社が発行している英文ホワイトペーパー「Critical Considerations When Evaluating Security Awareness Training Vendors」を日本語版「セキュリティ意識向上トレーニング(SAT)のベンダー選びで重要な7つのポイント」に翻訳し、公開することにしました。
本プレスリリースでは、同日本語版ホワイトペーパーの要点をまとめ、概説します。
<セキュリティ意識向上トレーニング(SAT)導入の前に確認すべき3つの前提>
最初に、セキュリティリテラシーとセキュリティアウェアネスの違いを理解することが必要です。情報だけでは人の行動を変えることはできません。セキュリティリテラシー教育でサイバー攻撃の情報を教えるだけでは、従業員のマインドセット、つまりセキュリティ意識を変えることはできません。セキュリティ意識向上トレーニング(SAT)を導入する前に、次の3つの前提を理解することは不可欠です。
- 意識を持つように促しても、自ら進んで意識するようにはならない
従業員にやみくもに情報、データ、手順を与えても、セキュリティ意識を高めることはできません。ほとんどの従業員は、セキュリティに関する推奨情報を受けとっても、他の優先事項と比較した結果「あとで検討しよう」と後回しにしてしまうことでしょう。 - 人間の本性に逆らおうとすると失敗する
会社のポリシーへの期待値とさきに述べたような行動実態にギャップが生じてしまえば、SATプログラムを導入しても期待値を大きく下回る可能性があります。これはデータプログラミングとは違います。訓練し、期待値を設定する対象は人間だからです。 - 従業員がどれだけ知識があるかより、実際にどう動くかが重要である
知識があるだけでは、組織の情報漏洩は防ぐことができません。 組織のセキュリティ態勢が強化されるか侵害を招くかは、その行動にかかっています。 情報や会社のポリシーを提供するだけでなく、どう行動するかに焦点を当てましょう。
<SATベンダーを選択するうえで不可欠な7つのポイント>
SATベンダーを選ぶ際には、以下の7つのポイントに注目し、すべてを満たすベンダーを選びましょう。 そうすることで、短期間でSATプログラムを成功させると同時に今後の可能性を示し、結果的に将来の成功につなげることができます。
- コンテンツのバリエーションと多様性
「誰でも同じように学べる」プログラムが良いという考えも一旦捨てましょう。 ユーザーは、自分の学びのスタイルに合ったコンテンツに魅力を感じます。 - ローカライゼーションへの対応
グローバルに展開する組織や、さまざまな言語を話す従業員を抱える組織にとっては単なるコンテンツの翻訳に留まらない多言語対応は欠かすことができません。 - プログラムの構造とオートメーション機能
SATは「1回やれば終わり」のトレーニングではありません。継続的なトレーニングとテスト、そして知識を深めることが必要です。フォーマル学習、インフォーマル学習、体験学習の3つのステージに分けて行うことを念頭に置き、それぞれの学習ステージに必要なコンテンツとツールを備えたSATプラットフォームを探すことが重要です。 - シミュレーションテスト
SATプログラムの基礎となるのはトレーニングですが、テストも重要な役割を果たします。 フィッシングテストを通じてユーザーの反応をシミュレーションすることで、ユーザーのセキュリティ行動がトレーニングによって変わり、人的リスクを軽減できているかどうかを確認できます。 - メトリクスとレポーティング
測定とレポーティングも、SATプログラムがいかに効果的にユーザーの行動を変え、人的リスクを低減しているかを判断するには効果的です。 また、セキュリティ意識プログラムの成果を経営陣に数値化して示すことは極めて重要です。 - 調査と評価方法
SATの実施によって組織内のセキュリティ意識がどう変化しているのかを理解しておく必要があります。うまくいっている部分が明らかになると同時に、改善の必要がある部分も浮き彫りになります。 - SATの枠を超えたサポート
近年、SATベンダーの状況は根本的に変化しています。 業界をリードするベンダーは、ユーザーのトレーニングだけにフォーカスした製品から、組織のセキュリティカルチャーの構築や人的リスク管理といったより包括的な問題に取り組むプラットフォーム製品の開発へと移行しています。目先の目標を達成するだけでなく、将来的な可能性を示してくれるパートナーとなり得るSATベンダーを選ぶことが重要です。
日本法人の営業活動全般を総括するKnowBe4 Japan合同会社営業統括本部長のガブリエル・タンは、SATベンダー選定の7つのポイントの公開について次のようにコメントしています。
「日本企業を標的とするサイバー攻撃は、急増しています。ここにきて、セキュリティ意識向上トレーニング(SAT)は注目され、日本においても多くの企業や団体が採用するようになってきています。また、最近、KnowBe4 では、多くの日本企業や団体からSATプログラム選択のポイントについて問い合わせをいただいています。SATベンダー選定の7つのポイントの公開は、これに応えるものです。参考になれば、幸いと考えております。日本語版本ホワイトペーパーのPDFをご希望の方はKnowBe4 Japan合同会社までお問い合わせください。」
お問い合わせ先:
KnowBe4 Japan合同会社
〒100-6510 東京都千代田区丸の内 1−5−1
新丸の内ビルディング 10F EGG
KnowBe4 Japan合同会社まで電話(03-4586-4540) またはお問い合わせフォーム(https://www.knowbe4.jp/contact-us )にてお問い合わせください。
<KnowBe4について>
KnowBe4は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2023年5 月現在、6万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp にアクセスしてください。
*セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大のKnowBe4のクラウド型統合プラットフォームは、増加し続けるフィッシング攻撃に対応する最新の模擬フィッシング/ランディングページ演習テンプレート(20,000種以上)に加えて、日々巧妙化するハッカーの手口に対抗するための様々なトレーニングコンテンツ(340種のインタラクティブトレーニングモジュール、545種の動画トレーニングモジュール、1437種のセキュリティ教育/トレーニングコンテンツ)を提供しています(2023年3月末現在)。
