リスクを特定し、組織を保護する
学習の目的
この単元を完了すると、次のことができるようになります。
- セキュリティ意識向上スペシャリストがリスクとトレーニングニーズを特定する方法を説明する。
- セキュリティ意識向上スペシャリストが実装する意識向上プログラムの種類を説明する。
リスクとトレーニングニーズを特定する
ランサムウェアは、サイバー攻撃の中でも最も広範で被害が大きい形態の 1 つであることをご存知でしたか? その影響は、小規模企業、都市、病院に及んでいます。ランサムウェアは、金銭が支払われるまでコンピューターシステムへのアクセスをブロックするように設計された悪意のあるソフトウェアの一種です。大抵、影響を受けたコンピューター上のファイルを暗号化し、ファイルにアクセスできなくしてしまいます。ほとんどのランサムウェアは、本物であるように見えるメールを介して配布され、ユーザーがリンクをクリックしたり、悪意のあるソフトウェアを配布する添付ファイルをダウンロードしたりするように誘導します。また、悪意のある Web サイトを通じて配布されることや、ソーシャルメディアメッセージを使用して送信されることもあります。ランサムウェアが組織に与える影響は甚大ですが、残念ながら、多くのオフィス勤務者がその脅威に気付いていません。ハッカーが人為的ミスを当てにしてランサムウェアを配布したり、ユーザーにフィッシングメールを送信したりすることを考えると、サイバーセキュリティ意識向上トレーニングは、組織のセキュリティを確保する上で極めて重要です。
どのようなトレーニングを実装するかを決定する場合、セキュリティ意識向上スペシャリストは、まず組織に最も関連する脅威、脆弱性、リスクを特定することから始めます。その際、組織内の主要な関係者とのセキュリティ意識向上ネットワークを確立し、この関係者がリスクとビジネス目標を確実に理解できるようにします。次に、組織内での役割と職務を確認して、特権 (管理者) ユーザーがどのようなトレーニングを必要としているかに特に注意を払いながら、会社を守るために必要な知識、スキル、能力を特定します。この手順は、「Center for Internet Security Control 14」で言及されています。
また、セキュリティ意識向上スペシャリストは重要な質問をすることでギャップを探ります。たとえば、どのようなユーザー行動が組織を危険にさらすことになるのか? ユーザーはフィッシングメールを見分ける方法を知っているか? 悪意のあるインサイダーを検知して、その被害を防止するために、どのようなコントロールが配置されているか? などです。セキュリティ意識向上スペシャリストは、組織に適用される法律、規制、コンプライアンス要件の種類も考慮します。こういった要件に関連する責任をユーザーに認識させることや、トレーニングを会社のセキュリティポリシーに沿って調整することも行います。また、ポリシーチームと協力して、ポリシーが最新の規制に準拠するように更新され、ポリシーが従業員にとって明確であるようにします。
トレーニングと意識向上イニシアチブを実装する
セキュリティ意識向上スペシャリストは、ソーシャルエンジニアリング、フィッシング、ランサムウェア、悪意のあるインサイダー、その他の種類の脅威から組織を守る方法について従業員をトレーニングするためにさまざまなツールを自由に使用できます。セキュリティ意識向上スペシャリストは、包括的な意識向上プログラムを計画、設計、開発、実装、維持します。ソーシャルメディアやイントラネットサイトなど、複数のチャネル向けにセキュリティ意識向上コンテンツを作成します。また、進化する脅威、新しい規制要件、会社のポリシーの変更について教育するために、技術的なコミュニケーションをユーザーに周知します。さらに、オンライントレーニングコース、動画コンテンツ、ポッドキャスト、Web セミナー、ディスカッションフォーラムなどの e ラーニング教材を作成します。
トレーニングには、業務固有であるものや、人間の行動の弱点につけ込む特定の脅威に対して従業員を強化することに重点を置いたものなどがあります。たとえば、業務固有のトレーニングには、セキュリティオペレーションセンター (SOC) のアナリストを対象とした、ネットワーク内の異常な活動を見つけるための新しいツールの使用に関するトレーニングがあります。または、スペシャリストはアプリケーション開発者向けに、インジェクションの脆弱性から保護し、ソフトウェア開発ライフサイクル (SDLC) のセキュリティを確保できるようにするためのコードのサニタイズ方法に関するトレーニングを作成できます。一般的には、従業員の業務に適用される規制に関するトレーニングを作成し、従業員が組織のコンプライアンスを確保する上での各自の役割を理解できるようにします。たとえば、リモートアクセス用の認証ソリューションを実装する従業員に対して、ペイメントカード業界 (PCI) のデータセキュリティ標準に関するトレーニングを実施します。この場合、PCI の「Best Practices for Maintaining PCI DSS Compliance (PCI DSS コンプライアンスを維持するためのベストプラクティス)」情報が共有されます。
その他の種類のトレーニングや意識向上は、特定の脅威に対するユーザーの意識を高めたり、シミュレーションを通じて組織の手順をテストしたりすることに重点を置いたものにできます。たとえば、多くの場合、セキュリティ意識向上スペシャリストはフィッシングに対する意識を高めるためのトレーニング演習を実装します。これには、悪意のあるメールを見分ける方法や、ソーシャルエンジニアリングからソーシャルメディアでのプレゼンスをセキュリティで保護する方法についてユーザーを教育することが含まれます。また、多くの組織では、疑似フィッシングメールも使用して、ユーザーが常にこの脅威を警戒しているかの抜き打ち検査や、従業員がフィッシングメールに引っかかる割合の評価を行っています。これにより、ユーザーの行動を変えるためにどのような補習トレーニングが必要かを知ることができます。
別の種類のトレーニングには、卓上訓練やシミュレーションがあり、運用スタッフや役員を対象にして実施できます。このようなトレーニングセッションでは、ランサムウェア攻撃など、チームが実際のシナリオのシミュレーションを体験して、組織の対応プロセスがどのように機能するかを実証します。こういったセッションでは、追加のポリシー/プロセスの作成やトレーニングによって効果を上げることが可能なギャップが存在する領域を示すこともできます。
企業は、e ラーニング、フィッシングシミュレーション、卓上訓練を社内で作成することも、この機能を教育啓蒙ベンダーにアウトソーシングすることもできます。この場合、セキュリティ意識向上スペシャリストはベンダーとの関係を所有して管理し、企業のトレーニング目標をベンダーが達成していることを確認します。スペシャリストは、どのようにしてトレーニングが目標を達成していることを確認するのでしょうか? これについては、リスクの検知およびセキュリティ意識向上活動とインシデント対応との統合に関する次の単元のトピックで説明します。
