コラム 2024.02.28 2024年のサイバーセキュリティー対策

今月号は、前回お伝えした昨今のサイバーセキュリティ事故の傾向を受けて、2024年度検討すべき対策の一つであるSA＆T（セキュリティアウェアネスとトレーニング）をご紹介いたします。 

新型コロナウイルス感染症（COVID-19）のパンデミックにより、従業員は前例のない時間をオンラインで過ごすこととなりました。それに伴い、フィッシングや標的型攻撃など、メールを利用して、受信者を起点にした攻撃が非常に増えています。従業員は自宅からリモートでも業務を行うため、セキュリティに対する意識はオフィスと自宅の境界を超えて常に持ち続ける必要があります。今、「どこでもセキュリティ」の文化を浸透させることが重要です。 

ネットワーク機器やサーバー等のITシステムに対するセキュリティ対策は、これまでも当たり前のように費用をかけてやってきたわけですが、昨今増加しているこれらフィッシング等のやり口は、セキュリティ対策が疎かになりがちな「人」を対象とした攻撃であるため、企業としては改めて認識しこのための対策を別途打っていく必要があると思います。 

このような、人を狙った攻撃への対策として「セキュリティアウェアネス（Security Awareness）」というものがあります。これは、各自が IT セキュリティの問題を認識し、適切な対応を行うことを意図したものです。ただ、あくまで"意識"させるものであるので対策としては不十分です。そのため、実際に”できるようにするためには「トレーニング」がセットで必要になってきます。

これまでも従業員に対してセキュリティリスクに関するビデオの視聴を義務付けるなどのトレーニングは有りました。ただ、この様な古いスタイルのセキュリティ教育では、ますます巧妙化するハッカーの手口に対抗するには、もはや限界がきています。 

今回は、FORRESTER ResearchによるSecurity Awareness & Training Solutionレポートの中で近年最も評価の高かったKnow Be4社のプログラムをご紹介いたします。 

Know Be4は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた統合型のWebプラットフォームです。 

以下のステップで進めます。 

1. ベースラインテスティング
   無償の模擬フィッシング攻撃テストを通して、社員ひとりひとりがどれくらい攻撃被害を受けやすいかを、PPP (Phishing-Proneヒット率) として、基準点となるトレーニング前の状況をアセスメントします。 
   
   
2. 受講者トレーニング
   動画だけでなく、ゲーム、ポスター、ニュースレターなどを含むインタラクティブな教材モジュールによる意識向上トレーニングを行います。
   オプションとしてゲーミフィケーション機能では、ゲーム感覚で、スコア表を見て同僚と達成レベルを競い合ったり、一定のレベルをクリアした際にレベルクリアのバッチを獲得するなど、楽しみながら、トレーニング課題に取り組みます。
   各受講者の振る舞いや受講者属性に基づいた是正学習を行う事も可能です。 
   
   
3. 受講者へのフィッシングテスト
   自動化された模擬フィッシング攻撃を行います。フィッシング攻撃の内容は、数千ものテンプレートがありあらゆるタイプのテストが可能です。
   受講者個々の情報をベースに、標的型攻撃のシナリオをカスタマイズすることも可能です。更に、さまざまな形式 (Word、Excel、PowerPointおよびzip) で偽装添付ファイルを含めることもできます。
   さらに、従業員が模擬フィッシングメールに誤って返答した場合には適切なアドバイスを提供してくれます。 
   
   
4. テスト結果分析
   トレーニング状況とフィッシングテスト結果を連動する統計とグラフ分析によるレポート作成を行います。ROI も可視化できます。
   
   フィッシングテストは継続的に行う事で従業員の対応レベルが着実に上がります。実際にKnow Be4が公表しているレポートでは、初期アセスメントでは33.2％の従業員がフィッシングメールに引っかかっていたところ、トレーニングを経て毎月フィッシングテストを行った結果、12か月後には5.4%まで抑えることが出来ました。

今月もご購読ありがとうございました！

KDDIアメリカはお客様のシステムをサイバーアタックから守るべく全力でサポートします。