- 2023/01/12
- セキュリティ
あらゆる企業が必要とする3つのレベルのサイバーセキュリティ知識とは
Post by : Cybereason Japan Marketing Team
日本で情報漏洩が起こり続けている理由
日本の企業はサイバー攻撃の危険性をよく認識しており、一般的にほとんどの企業はサイバーセキュリティ対策を講じています。しかし、それでもなお、日本で情報漏洩が起こり続けている理由は何でしょうか。
簡単に言えば、その理由は2つあります。1つ目は、企業が採用しているサイバーセキュリティ対策が不十分であるもしくは最新の攻撃に対応できていないことです。2つ目は、ヒューマンエラーであり、言い換えれば従業員が持つサイバーセキュリティに関する知識が不足していることです。
この記事は、「日本企業の一般社員がサイバーセキュリティに関する知識をどれだけ持っているか」を探る特集の第1部です。2部構成からなるこの特集では、従業員が持つサイバーセキュリティの専門知識というトピックに焦点を当て、それが企業のサイバーセキュリティにどのような影響を与えるかを説明します。
2022年初頭、帝国データバンクは、3月11日から14日にかけて実施した、日本企業を対象とするサイバー攻撃に関するインターネット調査の結果を発表しました。その結果、同調査に回答した1547社のうち36.1%が過去1年間にサイバー攻撃を経験していたことが判明しました。
また過去1ヶ月以内にサイバー攻撃を受けたことがあるかという質問に対して、大企業の約34%、中小企業(SMB)の約33%、小規模企業の約25%が「ある」と回答しました。
帝国データバンクの調査では、すべての回答者が、Emotetなどのマルウェアを使ったと思われる攻撃が増加していると答えています。このEmotetは、サイバー攻撃の一種であり、従業員に対して正規のメールに見せかけたメールを送信します。このメールには、悪意のあるスクリプト、マクロ化された文書ファイル、または悪意のあるリンクが含まれており、受信者はこれをクリックするように促されます。Emotetは、一度オープンされると、被害者のコンピューターから機密データを窃取することにより重大な悪影響を引き起こす可能性があります)。
また、2022年秋、警察庁は、2022年上半期に国内で企業などを狙ったランサムウェアによるサイバー攻撃が114件発生したと発表しました。これは前年比87%の増加です。業種別では、製造業が最も多く、次いでサービス業、医療・福祉業が続きます。ランサムウェアによるサイバー攻撃の被害者の過半数は、被害範囲の調査やデータの復旧に1000万円以上を費やしています。
3つのレベルのサイバーセキュリティの専門知識と2つの「従業員が抱えるリスク」を低減するために必要なこと
先ほどの調査結果を見れば分かるように、日本で発生するハッキングの多くは、従業員がサイバーセキュリティに関する知識を十分に持っておらず、サイバー犯罪者の手口を認識できていないことが原因となっています。サイバー攻撃から身を守るために、すべての企業は、「サイバー攻撃の被害者になることを防ぐためには、どの程度のサイバーセキュリティの専門知識が必要となるか」を自問する必要があります。
規模にかかわらず、あらゆる企業において必要となるサイバーセキュリティの専門知識は、次の3つのレベルに分けられます。
- 上級(Advanced):企業内部のサイバーセキュリティやIT専門チーム、またはアウトソーシングの場合は企業外部のマネージドセキュリティプロバイダー(MSP)が保有すべきレベルの知識です。
- 一般(General):経営幹部(言い換えれば「意思決定者」)が保有すべきレベルの知識です。経営幹部は、サイバーセキュリティについて全体的に理解している必要があります。このレベルのサイバーセキュリティの知識がなければ、サイバーセキュリティのニーズを理解することは不可能ではないにしても困難となるでしょう。その場合、サイバーセキュリティに関する提案を評価することもできないでしょう。
- 基本(Basic):一般の従業員が保有すべきレベルの知識です。電子メールをはじめ、自社のシステムやデータにアクセスするため、サイバーセキュリティ侵害を引き起こさないためには、全員がサイバーセキュリティの基本的な知識を身につける必要があります。ほとんどの企業では、新入社員の入社1週間目に、サイバーセキュリティに関する基本的なトレーニングを実施しています。
サイバーセキュリティの専門知識に関しては、あらゆる企業において、従業員が弱点となる場合があります。多くの調査の結果、企業がハッキングされた原因として、従業員が騙されて機密情報へのアクセスを提供したこと、従業員が安全でないネットワークを使用したこと、従業員がソフトウェアをアップグレードしなかったことが挙げられています。
企業がサイバーセキュリティ侵害の原因となる「従業員が抱えるリスク」を低減するためには、次の2つのことが必要となります。
- 企業のサイバーセキュリティガイドライン:サイバーセキュリティに関して、各従業員が熟知した上で実行することが期待される手順を概説したものです。手順の例としては、ソフトウェアのアップデートがある場合は直ちにアップデートすること、社外からネットワークにアクセスする場合は会社が承認したVPNを使用すること、文字、数字、記号を含む強力なパスワードを使用することなどが挙げられます。
- 全社員対象のサイバーセキュリティトレーニング:このトレーニングは、企業のサイバーセキュリティガイドラインに含まれる項目がすべて網羅されている必要があります。またこのトレーニングは定期的に実施する必要があり、トレーニングの実施間隔(四半期ごと、半年ごと、または毎年)は、「1)従業員による自社のサイバーセキュリティガイドラインの遵守」、「2)従業員のサイバーセキュリティに関する知識全般」を企業が評価した上で決定すべきです。この2点目は、見落としがちな点ですが、極めて重要です。従業員に「やるべきこと、やってはいけないこと」のリストを単に提供するだけで、彼らが自分の行動(または「行動しないこと」)がいかに企業に損害を与えるかを理解できなければ、従業員がサイバーセキュリティガイドラインを厳守することの重要性を認識することがより難しくなります。
従業員がセキュリティ上のリスクをもたらす可能性はありますが、従業員に対する適切なトレーニングを実施すれば、サイバー犯罪の被害に遭うリスクを低減できます。重要なのは、自社のビジネスを評価し、弱点を洗い出し、すべての従業員に最適なプロセスを伝えることです。また従業員にサイバーセキュリティ関連のトレーニングを提供することは、企業が従業員のエラーリスクを低減するためにできる最も重要なことです。
ほとんどの企業は、入社1週間目にサイバーセキュリティ関連のトレーニングを実施しています。しかし、全くトレーニングを行わないよりはましですが、この方法はあまり効果的ではありません。
入社後数日間で大量の情報にさらされるため、企業は、彼らに対してパスワードに関する要件、VPNを使用すべき場合、ソフトウェアの更新タイミングなど自社のサイバーセキュリティガイドラインに関する説明を行う余裕はなく、1回のトレーニングを受けたとしても、すべてのことを記憶することは期待できません。
むしろ、新入社員に対しては、最初の1年間は四半期ごとにサイバーセキュリティのトレーニングを繰り返す方が効果的です。そして、その他の従業員には、年1回の「再教育」トレーニングへの参加を義務付けるべきです。さらに、サイバーセキュリティ関連のトレーニングを補完するために、企業は、電子メールによりアップデート情報を提供することや、オフィス全体にポスターを掲示することなどを通じて、サイバーセキュリティを意識することの重要性を定期的に従業員に思い出させる必要があります。
サイバーセキュリティ関連のトレーニングは、ファイアウォール、アンチウイルスソフトウェア、EDR、データ暗号化などと同様に、あらゆる企業のサイバーセキュリティ対策の重要な部分となるべきです。
サイバーリーズンでは、サイバーセキュリティの専門知識を持たないビジネスパーソンを対象に、サイバーセキュリティ知識に関する理解度とサイバーセキュリティに関する意識の実態を調査するため、 「サイバーセキュリティ知識についての理解度テストとアンケート」を実施しました。この調査結果は、本特集の第2部の記事で紹介します。ぜひ、この調査結果をご覧いただき、それをご自分の会社の社員が持つサイバーセキュリティの専門知識のレベルと照らし合わせてみることをお勧めします。
サイバーセキュリティの知識をレベルに沿って学べる、サイバーセキュリティ学習者向けの専用ページ
サイバーリーズンは、サイバーセキュリティ製品およびサービスのプロバイダーとして、企業や組織が最善かつ最新のサイバーセキュリティ製品およびサービスを使用すべきであると強く信じています。その一方で、企業や組織が自社従業員のサイバーセキュリティの専門知識のレベルを向上させることの重要性も認識しています。
そこで、公式サイトに掲載を開始したサイバーセキュリティ学習者向けの専用ページ「サイバーリーズン・セキュリティ・アカデミー」では、より多くの方がサイバーセキュリティ対策について学習する機会を創出し、サイバーセキュリティ対策の重要性を認識いただくため、レベルに沿って学べて、基礎知識の習得に役立ち、サイバーセキュリティ対策を講じるための基本となる情報を提供します。
サイバーセキュリティの基本的なテーマに関する3分間の簡単な解説動画(理解度チェックテスト付き)は、皆さんがご視聴することはもちろんのこと、自社従業員に紹介して、ご視聴いただくような活用方法もお薦めです。また、サイバーセキュリティに関する各種の分かりやすい記事をはじめ、サイバーセキュリティ関連の用語集も掲載しています。これらは、サイバーセキュリティに関する知識を深めたいとお考えの経営幹部の方にとっても役立ちます。ぜひこのページにアクセスして、有益な情報をご活用ください。
■サイバーリーズン・セキュリティアカデミー
https://www.cybereason.co.jp/academy/
【ホワイトペーパー】ランサムウェアの歴史、組織、攻撃手法とその実態を徹底攻略
緊迫する国際情勢に伴い日本においても急増しているサイバー攻撃、事業停止など甚大な影響を及ぼすランサムウェア攻撃など、企業・組織におけるサイバーセキュリティへの取り組みは、もはやIT/セキュリティ担当者だけの課題ではなく、事業の継続性を担保する上で組織全体で取り組むべき最重要の課題となりました。
今回のテーマは「ランサムウェアの歴史、組織、攻撃手法とその実態を徹底攻略」で、ランサムウェア攻撃者自体や攻撃手法だけでなく、米国を始めとする国家のサイバー政策による影響を踏まえつつ、彼らを取り巻く環境にも注目し、その実態に迫ります。
本ホワイトペーパーでは、そのテーマに沿って講演したセッションの中から厳選した3つのセッションをご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/9248/
