標的型攻撃メールの対策は従業員一人ひとりにあり!~セキュリティ教育の重要性~

昨年来から続くコロナ禍により、多くの企業でテレワークによる新しい働き方が定着してきました。企業経営において、従業員のセキュリティ教育の重要性を感じられている方も多くいらっしゃるのではないでしょうか。

今回の記事では、そのような方に向けて、昨今のセキュリティ脅威とその攻撃手口についてと、企業経営、テレワークにおけるセキュリティ教育の重要性、効果的な教育法についてご紹介します。

最新のセキュリティ脅威とその攻撃手口とは

IPA(独立行政法人 情報処理推進機構)が毎年発表している「国内 情報セキュリティ10大脅威 組織」の過去3年(2019~2021年)のトップ5に入っている3つの脅威

・標的型攻撃による被害

・ビジネスメール詐欺による被害

・ランサムウェアによる被害



について、具体事例と攻撃手口を確認してみるとメールを利用した攻撃手口が目立ちます。

7P_Proofpoint PSATウェビナー資料 悪意のあるメールから社員を守る「セキュリティ教育」.jpg

8P_Proofpoint PSATウェビナー資料 悪意のあるメールから社員を守る「セキュリティ教育」.jpg



ベライゾン社のVerizon DBIR 2018の調査によると、攻撃侵入経路の96%がメールからと、圧倒的な数字が示されています。国内の情報でも、警察庁がまとめた標的型攻撃メールの動向によると、2020年上半期の標的型攻撃メールの件数は3,978件で、前年同期の約1.5倍へと拡大しています。2019年全体の5,301件や、2018年全体の6,740件と比較しても、それらを上回るペースで推移していることがわかります。攻撃手口や数字的な観点からも、メールがセキュリティ脅威のポイントになっていることがおわかりになるでしょう。

9P_Proofpoint PSATウェビナー資料 悪意のあるメールから社員を守る「セキュリティ教育」.jpg



企業経営、テレワークにおけるセキュリティ教育の重要性

メールがセキュリティ脅威のポイントになっているとお伝えいたしましたが、今度は企業経営、テレワークという観点からセキュリティ教育の重要性について、経産省、総務省のガイドラインを見ていきましょう。

経産省が発表している「サイバーセキュリティ経営ガイドライン」において、経営者はサイバーセキュリティ対策を実施する上での責任者となる担当幹部(CISO 等) に対して、以下の重要10項目を指示すべきであると紹介されています。



指示1 : サイバーセキュリティリスクの認識、組織全体での対応方針の策定

指示2 : サイバーセキュリティリスク管理体制の構築

指示3 : サイバーセキュリティ対策のための資源(予算、人材等)確保

指示4 : サイバーセキュリティリスクの把握とリスク対応に関する計画の策定

指示5 : サイバーセキュリティリスクに対応するための仕組みの構築

指示6 : サイバーセキュリティ対策における PDCA サイクルの実施

指示7 : インシデント発生時の緊急対応体制の整備

指示8 : インシデントによる被害に備えた復旧体制の整備

指示9 : ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握

指示10: 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供



中でも、「指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保の対策例」を見ていくと

・従業員向けやセキュリティ担当者向けなどの研修等のための予算を確保し、継続的に役割に応じたセキュリティ教育を実施する。

ことが謳われています。

16P_Proofpoint PSATウェビナー資料 悪意のあるメールから社員を守る「セキュリティ教育」.jpg

また、総務省が発表している「テレワークセキュリティガイドラインにおけるセキュリティ対策のポイント」において、経営者、システム管理者、テレワーク勤務者が実施すべき対策の中に「情報セキュリティに関する教育、啓蒙活動を定期的に実施(する)させる」ことが謳われています。

19P_Proofpoint PSATウェビナー資料 悪意のあるメールから社員を守る「セキュリティ教育」.jpg21P_Proofpoint PSATウェビナー資料 悪意のあるメールから社員を守る「セキュリティ教育」.jpg

セキュリティ教育は重要だがそのアプローチも重要

経産省、総務省のガイドラインからセキュリティ教育の重要性をお伝えいたしましたが、ただ単にセキュリティ教育を実施させる(する)だけで、従業員のセキュリティリテラシーが高められるほど簡単な話ではありません。セキュリティ教育はそのアプローチも重要です。

セキュリティ教育としてまず思いつくのが、外部の講師を招き従業員を集めて集合研修をする方法です。この方法の難点は下記があげられます。

・多くは単発で終わりその効果がわかりづらい

・場所と時間に縛られる

・そもそもコロナ禍で集まることができない

「多くは単発で終わりその効果がわかりづらい」という点の裏付けとして、ドイツの心理学者のエビングハウス氏が提唱している"エビングハウスの忘却曲線"をご存じでしょうか?

"エビングハウスの忘却曲線"では、一度覚えたこと(短期記憶)は何もしなければ1ヶ月後その内容をほとんど忘れてしまうこと、定着させる(長期記憶)には、適切なタイミングで数回にわたり復習することが必要であることを表しています。この理論から、セキュリティ教育においても単発で終わらせると効果は薄く、繰り返し取り組むことで従業員のセキュリティリテラシー向上につながると考えられるのではないでしょうか。

その対策として、繰り返し受講ができ、時間、場所が選べるE-learningを選択されるかもしれません。この方法は、従業員としては受けさせられている感が強く、理解度、取得率にばらつきがでるのが難点です。

こちらについても、米国の国立訓練研究所であるNational Training Laboratoriesの学習定着率"Learning Pyramid"が示しているように、講義、読書、視聴覚など受動的だと学習定着率が低く、自ら体験する、他の人に教えるなど能動的に学ぶこと=「アクティブラーニング」で学習定着率が上がるとの結果がでています。

また、管理・運用者の立場から考えた場合、受講のトラッキング、理解度のチェック、再受講の案内等、発生する業務の負荷と時間を減らしたいというのが本音ではないでしょうか。

23P_Proofpoint PSATウェビナー資料 悪意のあるメールから社員を守る「セキュリティ教育」.jpg

*出典補足:National Training Laboratories Bethel, Maine, USA

そのような中で、Proofpointのセキュリティ教育ソリューション「Proofpoint Security Awareness Training(PSAT)」では、上記の難点を解決するソリューションをご用意しています。オンラインセミナーにて詳しくご紹介しておりますので、ご興味のある方は、是非以下のお申込みページよりご登録ください。

--------------------------
セミナー申込みはこちら.jpg

悪意のあるメールから社員を守る「セキュリティ教育」
~社員一人一人のリテラシーを高める効果的な教育方法~

日 程:2021年 8月25日(水) 11:00~11:40
    2021年 9月29日(水) 10:00~10:40

会 場:オンラインセミナーでの開催
費 用:無料(事前登録制)
--------------------------

▼セミナー案内・ブログ更新情報 配信登録メルマガ登録バナー(セキュリティ).jpg