効果的なサイバー検疫プログラムの作成方法

  • Article

2017 年 2 月 20 日 - Microsoft Secure Blog スタッフ - マイクロソフト

執筆者: Ann Johnson (バイス プレジデント、エンタープライズ サイバーセキュリティ グループ)

このポストは「How to create an effective cyber hygiene program | Microsoft Secure Blog」の翻訳です。

Verizon の「2016 Data Breach Investigations Report」によると、確認された侵害の 63% において、弱いパスワードや既定のパスワードが使用されていたり、パスワードが盗まれたりしていたとのことです。また 2015 年には、フィッシング メッセージの 30% が開かれており、攻撃の標的となった人々の 12% が悪意のある添付ファイルやリンクをクリックしていました。これを踏まえると、どのような種類の組織であっても、デジタル エンゲージメントやサイバー検疫のベスト プラクティスに関する教育をユーザー基盤に対して実施することで、セキュリティ体制を大幅に強化できることになります。

how_to_create01

しかし今のところ、企業の投資が最も足りておらず、正当に評価されていないサイバーセキュリティの側面の 1 つとして、ユーザーの教育であるという事実をDark Reading の最近の記事である「The Sorry State Of Cybersecurity Awareness Training」をはじめとするさまざまな記事によって示されています。多くの組織では、コンプライアンス要件を満たすために年 1 回のオンライン トレーニング プログラムを実施する必要がありますが、脅威の情勢の変化やエンド ユーザーの役割の多様性が熟慮された、広範囲にわたるしっかりした継続的なトレーニングに対する投資はほとんど行われていません。

私は、これらの組織が環境内の防御と検出のためのツールに多大な投資を行っている一方で、セキュリティ インフラストラクチャの中で最も脆弱な要素であるエンド ユーザーを見過ごしているのを目の当たりにしてきました。Forbes は、「Peninsula Press によって実施された 2015 年度の米国労働省労働統計局の数値の分析によると、209,000 を超えるサイバーセキュリティの求人が埋まっておらず、求人の数がこの 5 年間で 74% 増加している」と報じています (2016 年 1 月)。したがって、単純にテクノロジやセキュリティの専門家に頼ってデータやインフラストラクチャを保護すればいいというわけにもいきません。脅威は進化しており、スピア フィッシングも増加しており、ユーザーが攻撃の明確な標的となっています。ユーザーの教育方法を変革するのも業界の義務です。

ユーザーを教育するには、以下のさまざまな要素を検討する必要があります。

  • どこを重点的に取り組むか
  • ユーザー全体のリスク特性を行い、データと同様にユーザーを分類しているか
  • ディレクトリが最新であり、特権は適切であるか
  • コンピュータを使える能力を備えている団体か
  • ユーザーは何にアクセスしているか (極秘データ、機密データ、社外秘データ)
  • ユーザーはどのようなシステムを使用しているか (企業が支給したものか、ユーザーが持ち込んだものか、管理対象か、管理対象外か)
  • チームにとってどのような教育がベストか、およびその教育はどのように補強されているか
  • 複雑なセキュリティ概念をどのように活用しやすいものにしているか

 

効果的なサイバー検疫の意識向上プログラムの作成

1.模範を示す

プログラムを作成するには、経営者レベルによる、サイバーセキュリティの教育に真剣に取り組むための注力、努力、およびコミットメントが必要になります。社内の利害関係者は、さまざまな調査結果を引用したり、幅広い業界のデータを活用したりして、ビジネスの事例やトレーニングを実施する正当な理由を示すことができます。Ponemon Institute によると、機密情報が含まれるレコードの紛失または盗難の平均コストは、レコード 1 件あたり 158 米ドルに達しています。また、この数値には、ブランドの毀損によるビジネスや顧客ロイヤルティの損失は含まれていません。サイバーセキュリティの意識を向上させるメリットを示すのは簡単です。組織の最高経営者レベルのサポートや賛同を得ることは容易ではありませんが、取り組みを遵守し、この取り組みに対して継続的に投資を行う雰囲気を作り出すうえで重要です。

2. 高い意識を維持する

年 1 回のプログラムは良いきっかけにはなるかもしれませんが、学んだ内容はすぐに忘れてしまうため、これによって良い習慣が身に付く可能性は低いです。真の意味で持続性のあるプログラムを作成するために、トレーニングは年 1 回ではなく、継続的なものにする必要があります。また、トレーニングは、新しいセキュリティ イベントや新しい種類の攻撃から得られた知識に対応するのに十分な柔軟性を備えている必要があります。標準的な赤チームと青チームに分かれた取り組み以外にも、Web ベースのトレーニング、従業員の意識を向上させるポスター、および平均的なユーザーを対象にしたシナリオ ドリルは、どれもエンド ユーザーに強い印象を残す良い手段となります。また、経営陣の中に、セキュリティの意識を向上させる取り組みを支持し、率直に意見を述べてくれるスポンサーを置いてください。このスポンサーは、信頼感を高め、ベスト プラクティスの効果について CISO や従業員との継続的な対話を促してくれる十分に信頼できる人物である必要があります。より大規模な組織については、一歩前に踏み込んで、企業のエンド ユーザー母集団および拠点全体でその文化を維持できるように、部門レベルでサイバー セキュリティのチャンピオンを設けることをお勧めします。小さいことから開始する場合は、機密データを扱う全従業員にプライバシー スクリーンの使用を義務付ける程度の簡単なことでも、意識を向上させ、従業員同士でベスト プラクティスを教え合うという点で効果的です。

3. 形式的なものにせず、義務的なものにする

従業員の多くは、オンライン トレーニングについて、より高い優先事項に取り組む時間が削られる、あまり有意義でない時間の投資であると考えています。しかしながら、頻繁にセキュリティ トレーニングを完了するタスクは、必須の業務要件にすべきであり、非常に重要なタスクとみなすべきです。組織のその他のトレーニング プログラムと比較したセキュリティ プログラムの相対的な位置付けについて説明するとともに、月ごとに、トレーニングを受講した従業員の数について大まかに告知し、各部門のセキュリティ体制に関する指標値を共有することで、これを成し遂げることができる可能性があります。

4.シンプルなものにする

本格的なプログラムをすぐに実施できない場合、上位 3 つのセキュリティ リスクについての意識を向上させるだけでも大きな効果を得ることができます。攻撃者の主な攻撃手段は、依然として、弱いパスワードを狙った攻撃、フィッシング、そして良くないと知りつつも不注意で添付ファイルをクリックするのを狙った攻撃です。被害者にならないためのベスト プラクティスをユーザーに喚起し、適用を自動化するためのさまざまな方法を検討することで、感染したデバイスが他にもたらすリスクを抑えることができます。

急増する脅威に対応できる特効薬は存在しません。リスク ベースのポリシー、テクノロジの制御、しっかりとした監査、およびユーザーの教育を組み合わせることで、組織のリスク軽減を成功させることができます。