セキュリティ意識について知る
学習の目的
この単元を完了すると、次のことができるようになります。
- セキュリティに対する意識を定義する。
- セキュリティ意識向上プログラムを実施することの重要性について説明する。
セキュリティ意識とは?
どこで働いていても、従業員と顧客の双方の信頼、セキュリティ、安心感は、1 つの重要なバリューとなります。信頼を維持できる組織の不可欠な要素は、すべてのメンバーが日常業務の一環としてサイバーセキュリティプログラムに積極的に参加することです。つまり、サイバーセキュリティの手順を理解し、いつ、どのようにサポートを求めるかを把握するということです。
組織はセキュリティ意識向上プログラムを実装して、組織内のサイバーセキュリティ文化を促進します。その目標は、潜在的な脅威についてユーザーをトレーニングし、データ、システム、またはネットワークを危険にさらす可能性のある状況に対する認識を高めることです。組織はセキュリティ意識向上プログラムを使用して、機密情報の処理と管理を行う従業員に責任感と目的意識を植え付けます。従業員は、日々の行動や意思決定において、各自が組織のセキュリティを維持するための最強の鎖の 1 つであることを認識する必要があります。
セキュリティ意識向上プログラムの目標の 1 つは、組織のリスクを軽減することです。従業員が潜在的な脅威とその軽減方法について認識を高めるほど、組織は攻撃を受けにくくなります。セキュリティ意識向上スペシャリストは、組織を保護する上での個人的な責任をユーザーが担えるように努めます。また、トレーニングを提供したり、コンプライアンスを測定したりすることで、組織がデータを保護するために設けているポリシーと手順を適用します。
セキュリティ意識の重要性
従業員がセキュリティを意識し、注意を払うようになると、従業員の周囲で強力なサイバーセキュリティ手法が促進されます。攻撃者は大抵、組織のセキュリティチェーン内にいるユーザーを標的にするため、サイバーセキュリティのこのような人的要素はデータを保護する上で特に重要です。侵入検知システム、ファイアウォール、データ損失防止など、世の中にあるあらゆる技術的なコントロールも、ユーザーがポリシーと手順、ツールの使用方法、侵害が発生した場合の対処法を理解していなければ、データを保護するのに十分とは言えません。
以下に、セキュリティチェーンの人的要素を悪用するために使用される一般的な攻撃手法をいくつか紹介します。
- マルウェアとは、ユーザーを騙してコンピューターにウイルス、トロイの木馬、スパイウェアをダウンロードさせることで、デバイスに損害を与えたり、データを盗んだり、コンピューターシステムを侵害したりしようとする悪意のあるソフトウェアです。
- フィッシングとは、悪意のある人物が信頼できる企業や個人からであるように装って、ユーザーにパスワードやクレジットカード番号などの個人情報を開示させようとするメールを送信する攻撃の一種です。
- ソーシャルエンジニアリングとは、個人を操って狙いどおりのアクションを実行させるために攻撃者が使用する手口です。ソーシャルエンジニアリングは、マルウェアやフィッシングの効果を高めるために使用されることがあります。たとえば、攻撃者はソーシャルメディアを使用して、企業のセキュリティ担当者として勤務する従業員の名前を特定できます。その後、攻撃者はさらにソーシャルエンジニアリングを使用して、その従業員の娘が通う学校を突き止め、その学校のメールアドレスを偽装したメールに PDF を添付して送信できます。PDF には、その地域の天候による緊急の閉鎖に関する情報を含めて、被害者に危機感を与えることができます。攻撃者は PDF にマルウェアを埋め込むことができ、従業員が PDF を開くと、悪意のあるファイルがダウンロードされ、実行されます。ソーシャルエンジニアリングを介して従業員の個人情報を使用すると、攻撃が成功する可能性が高くなります。
- インサイダー脅威は、企業の従業員がデータに対して不適切なアクセス、修正、削除を行う場合に発生します。これが発生する原因としては、経済的利益、スパイ行為、従業員が不満を募らせていること、おそらくは昇進していないこと、近々行われる一時解雇に気付いたことなどが挙げられます。潜在的なインサイダー脅威を追跡して監視するには、特別なツールが必要です。その他の従業員も、不審な活動を報告するための鍵となります。また、意図しないインサイダー脅威もあります。これは従業員が気付かずにミスを犯し、組織を危険にさらすことを指します。たとえば、機密情報が含まれるメールを間違った相手に送信してしまうような場合です。注意散漫になりやすく、人々の動きが速い現在の環境においては、ミスはつきものです。
- データ損失は、データが誤ってまたは故意に破壊された場合、許可されていない相手と共有された場合、許可されていない目的で使用された場合に発生します。データ損失は、従業員が誤ってまたは故意に顧客のアカウント情報を変更した場合に発生することがあります。他の例としては、従業員が外付け USB に情報をダウンロードし、それを紛失した場合が挙げられます。また、データ損失従業員が誤って顧客の社会保障番号などの機密データを第三者に電子メールで送信した場合にも、データ損失が発生する可能性があります。機密データの取り扱いに関する適切なトレーニングや、データ損失を防ぐためのポリシーや技術的なコントロールは、この問題に対する意識を高めるために欠くことのできないものです。
セキュリティを意識することによって、組織は人間の弱点や人為的なミスの悪用から組織自体を守る能力を強化できます。セキュリティのポリシーと手順は、ユーザーに対してどのようにデータの安全性を維持することが求められているのか、誰がどのタスクに責任を持つのか、緊急事態が発生した場合に何をすべきかを文書化することで、セキュリティ意識向上プログラムのビルディングブロックとして機能します。このようなビルディングブロックが整備されたら、セキュリティ意識向上プログラムを実装し、ユーザーの意識向上トレーニングを用意することをお勧めします。セキュリティ意識を優先させることで、組織はパッチ管理、ログの集約、ウイルス対策などのセキュリティ対策の実装に集中できます。こういったコントロールが配置され、ユーザーがその使用方法を理解している場合、セキュリティ意識向上プログラムによって主要業績指標の設定と収集が行われます。この指標は、ポリシーや手順の遵守状況や、意識向上プログラムの目標が達成されているかどうかをより的確に把握するのに役立ちます。
リソース
- 外部サイト: World Economic Forum (WEF): What happens to an organization when it has no security culture? (世界経済フォーラム (WEF): セキュリティ文化がない組織はどうなるのか?)
- Trailhead: リーダーのためのサイバーセキュリティの原則