コンプライアンスを追跡し、インシデントから学ぶ
学習の目的
この単元を完了すると、次のことができるようになります。
- セキュリティ意識向上スペシャリストが、トレーニングや意識向上キャンペーンのコンプライアンスをどのように追跡するかを説明する。
- 意識向上プログラムをインシデント対応と統合することの重要性を説明する。
コンプライアンスの追跡
キャリアを築き始めたばかりの人にとっても、すでに数年の経験を積んでいる人にとっても、プログラムが目的を達成しているかどうかを理解するには、プログラムの進捗状況を追跡することが有効であることはご存知だと思います。セキュリティ意識向上とトレーニングは 1 回限りのイベントではなく、優先順位の変化、組織の変化、従業員のオンボーディングや役割の変更、新たな脅威の出現などに応じて進化する、継続的な動的プロセスです。
セキュリティ意識向上スペシャリストは、トレーニング完了の評価指標を確認することによって、従業員のコンプライアンスを追跡します。トレーニングは、四半期に 1 回、年 1 回、従業員の役割の変更時、または新しい従業員の入社時に必要になることがあります。セキュリティ意識向上スペシャリストは、この評価指標やその他の重要業績評価指標 (KPI) を使用して、組織のリスクプロファイルの状況を伝え、関連する関係者に意識向上プログラムのパフォーマンスを説明します。
プログラム評価指標を確認することは、組織が残存リスクや新たなリスクを特定するのにも役立ちます。たとえば、セキュリティ意識向上スペシャリストは、偽のフィッシングメールを従業員に送信するフィッシングシミュレーションを作成できます。スペシャリストは、フィッシングテストをクリックした人数を追跡したり、フィッシングメールの見分け方についてユーザーを教育するために追加のトレーニングが必要な箇所を特定したりすることができます。また、メールをフィッシングと認識し、セキュリティオペレーションセンター (SOC) にそのメールを報告する手順に従っているユーザーの数を追跡することも可能です。フィッシングシミュレーションのリンクをクリックしたユーザーには、意識向上トレーニングの再受講を促すことができます。違反を繰り返すユーザーに対しては、権限の見直しや変更を行うこともできます。
同様に、セキュリティ意識向上スペシャリストは、マルウェアをダウンロードするユーザー、悪質なサイトに頻繁にアクセスするユーザー、それ以外にも、ポリシーや手順に違反するユーザーに関する評価指標を追跡し、セキュリティプロトコルを理解する上で特にサポートが必要なユーザーにターゲットを絞ることができます。これは、より広範なトレーニングを通じて対処可能なセキュリティリスクの傾向を特定するのにも役立ちます。また、スペシャリストは組織のインサイダー脅威チームと連携して、役割や過去の行動が原因となって組織により高いリスクをもたらすユーザーに対して追加の監視を設定することもできます。このように、セキュリティ意識向上スペシャリストは組織全体で連携することで、リスクを積極的に測定して検知したり、意識向上プログラムを調整して、ユーザーの行動を改善してセキュリティ文化を強化したりできるようにサポートします。
インシデントから学ぶ
セキュリティ意識向上スペシャリストは、インシデントからのフィードバックをトレーニングに反映させ、組織の復旧とセキュリティ体制の改善をサポートする役割も担っています。意識向上プログラムを実際のインシデントに結び付けることで、行動や文化を変化させる動機付けになり、各自のアクションでどのように組織を守るかの重要性を人々に教えることができます。さらに、リスク領域が正確に示され、最も適切でタイムリーなトレーニングや意識向上のコンテンツを作成する方法もわかります。
独自のインシデントデータを確認すると同時に、同業他社のデータと比較して組織の侵害やトレーニングのデータをベンチマーク評価し、ベストプラクティスや業界のトレンドに従ってリソースを移行する機会を特定することも重要です。
自分の組織のインシデント情報から学び、他社の実践方法を考察しながら、組織内の職能上の枠を超えたチームと連携して、ポリシー、手順、関連付けられた評価指標の特定と更新を行うことが重要です。こういった変更は、会社全体のより広範なセキュリティトレーニングと意識向上キャンペーンに組み込むことができます。
意識向上プログラムの作成、維持、測定、成熟を行う方法の詳細は、このテーマに関する SANS のトレーニングを参照してください。
まとめ
このモジュールでは、セキュリティ意識向上プログラムを計画、実装、測定し、そのプログラムを使用してインシデントを減少させ、組織のセキュリティ体制に肯定的な変化をもたらす上での重要な考慮事項をいくつか学習しました。これで、セキュリティ意識向上スペシャリストの役割について少し詳しくなり、この役割が自分に適しているかどうかを判断できるようになりました。
サイバーセキュリティの各ロールを確認し、セキュリティの専門職の話を聞いてみたい方は、Trailhead の「サイバーセキュリティのキャリアパス」を参照してください。
リソース
-
外部サイト: SANS Security Awareness Reports and Resources (SANS のセキュリティ意識向上レポートとリソース)
-
ブログ: CYBSAFE: Measuring the effectiveness of security awareness programs: What you need to know (セキュリティ意識向上プログラムの効果の測定: 知っておくべきこと)