サイバーセキュリティは取締役会で監査されるべき問題

今変わらないと、危ない： 基幹システム・基幹インフラが止まる

これまでは、サイバーセキュリティはテクノロジー上も問題として取り扱われてきた。しかしながら、サイバー攻撃がもたらす被害や影響がますます増大している。基幹システム・基幹インフラが止まれば、どうなるか。その影響を改めて考えてみてほしい。サイバー攻撃の被害は、もう対岸の火事ではない。皆さんの企業や団体で、明日起きてもおかしくはないものなのである。サイバーリスクは、テクノロジーの問題ではなく、他の経営リスクと同様に、取締役会で監査されるべき問題なのである。経営陣は、緊急の経営課題として、自社のサイバーリスクを把握し、サイバー被害を未然に防ぐために自社のプランおよび万一サイバー被害を被った際の対応策に取り組む必要がある。本ストーリーは、世界のセキュリティ意識向上トレーニング市場をリードするKnowBe4からの「サイバーリスクに関する提言」をまとめたものである。

サイバー攻撃の本質を考える

サイバー攻撃に対峙するために、原点に戻って、サイバー攻撃の本質を考えてみたい。

敵（サイバー攻撃者）を知る

孫氏の兵法「敵を知り、己を知れば、百戦して殆（あや）うからず」

まずは、敵（サイバー攻撃者）を知ることから始めてみよう。敵（サイバー攻撃者）とは、どのように定義されているのであろうか。ウィキペディアによると、ハッカーの本来の意味についてはしばしば議論があると解説している。ハッカーの本来の意味は、「プログラム可能なシステムの細かい部分を探ったり、その機能を拡張する方法を探究したりすることに喜びを感じる人」であるが、メディアのタイプを問わず、日本では、サイバー犯罪を企てる人は、押し並べて、ハッカーという言葉が使われている。しかしながら、欧米諸国では、Bad Guys（悪者）から始まり、Bad Actor（悪人、常習犯、詐欺師）、Cybercriminal（サイバー犯罪者）、Cyberterrorist（サイバーテロリスト）、Hacktivist（ハクティビスト）などがあり、サイバー攻撃のタイプや状況に応じて、使い分けている。次に、敵（サイバー攻撃者／犯罪者・攻撃者／犯罪者集団）の現状をみてみよう。サイバー攻撃の目的は様々ですが、大半は金銭目的です。そのほか、単に世間を騒がせて自己満足する愉快犯や、国家や企業などの組織体の戦略変更内部情報やイメージダウン・株価操作などを狙う組織犯罪、産業スパイ活動、政治的・社会的な主張や扇動的な操作などがあります。そして、間違いなく言えることが、サイバー攻撃の組織化です。犯罪者集団は、手段と標的を考え出す黒幕のもとに、脆弱性を見つけ出すサイバー攻撃エキスパートや、サービスに対してDDoS攻撃やランサムウェア攻撃などを実施して時間単位で対価を得る「架け子」、資金洗浄のための運び屋や「出し子」を斡旋するフィクサーや、盗み出された情報をブラックマーケットで販売することを専業とする「受け子」が階層的に組織化されている。このような組織化・階層化によって、資金力も巨大になっています。このような犯罪のプロ集団と戦わなければならないことを考えていただきたい。

テクノロジー vs サイバー攻撃

ここで、これまでのセキュリティリスク対策の問題点を考えてみたい。多くの取り組みは、テクノロジーにフォーカスされている。確かに、アンチウイルス、アンチマルウェア、侵入検知/防御、ファイアウォール、メールフィルター、多要素認証、エンドポイントセキュリティといったテクノロジーソリューションは重要である。セキュリティリスク対策としてのこれまでのテクノロジーソリューションは、国際標準化機構によって作成された概念モデルであるOpen Systems Interconnection（OSI）参照モデルで見れば、第7層「アプリケーション層」までカバーしている。では、なぜサイバー攻撃を完全に防御できないのであろうか。サイバー攻撃者が狙ってきているのは、ヒューマンエラーという落とし穴である。テクノロジーによっていかに完璧な防御層を構築しても、人が犯すミスを突けば、この防御層を破ることが簡単にできるのである。基幹ネットワークや基幹システムへアクセスするためのログインコードを巧みに聞き出せば、サイバー攻撃者は侵入することができるのである。ここに、KnowBe4が提唱する”Human Firewall”を「社員一人ひとり」に形成する必要がある理由がある。

「人」による防御を主体に考える発想への転換

『私は失敗しない』。こんな過信や心の隙をサイバー攻撃者は狙っているのです。サイバー攻撃者が仕掛ける罠は、ますます巧妙化している。考えさせずに、直感的にクリックさせるように、罠を仕掛けてきている。ユーモラスな画像やキャッチコピーをネット上に拡散させて、ネットサーフィン中のあなたに忍び寄ってくる。このような巧みに「人」を狙うサイバー攻撃に対抗するためには、これまでのテクノロジー主体のセキュリティ対策から「人」による防御を主体に考える発想の転換が必要になってきている。

KnowBe4の誕生

セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーであるKnowBe4は、2010年8月に米国フロリダ州タンパベイで誕生した。KnowBe4が目指すところは、他のセキュリティテクノロジーベンダーとは、基本的に異なっている。KnowBe4は、セキュリティのテクノロジーの側面ではなく、「人的要素」にフォーカスしている。創立以来、ヒューマンエラーという「人」が抱える生来の問題に取り組んできている。

日本のサイバーセキュリティに対する意識は 欧米と比べて、まだ主流になっていない

2021年11月にKnowBe4の日本法人「KnowBe4 Japan合同会社」に営業統括本部長に就任したガブリエル・タンは、グローバル視点から「日本のサイバーセキュリティに対する意識は欧米と比べて、まだ主流になっていない」と語る。サイバーリスクに立ち向かうための意識改革に取り組むべきであると主張する。「多くの日本企業の意思決定が相変わらず遅いことに対して、今日のように高いスピード感が要求されるグローバルビジネスの足かせになっているのはとても残念にある」と日本企業のグローバル化について私見を述べている。

「無論、その背景には日本の文化や日本人の気質など、正当に思われるような様々な理由があるのかも知れませんが、グローバルビジネスの厳しい競争現実に直面している中、明らかに機能不全に陥っている意思決定のプロセスを変えずに現状維持し続けるのは大きな問題である」と考えています。「どの企業も逃れるこができないサイバーセキュリティの問題はその一例です。ソーシャルエンジニアリング攻撃はますます激化している中、すでに社員一人ひとりのセキュリティ意識レベルを重要視している欧米先進国の企業と比較すれば、日本企業の意思決定の遅さによって数年も遅れています」と、ガブリエル・タンは語っている。

ガブリエル・タンの略歴

ガブリエル・タンはシンガポールから1990年来日して以来、グローバル人材として日本市場で活躍。日本の電気機器メーカーにおいて海外営業を携わった後、シンガポール政府系の複合企業にて日本を含むアジア太平洋地域（APAC）を中心に多岐にわたる業界の日本企業との新規事業開発・提携プロジェクトを担う。その後に、デジタルコンテンツとワイヤレス技術関連製品・サービスを提供するシンガポール企業の日本法人の設立と代表を務め、インターネット・モバイルアプリケーション、AR・VRなどの先端技術分野を核にしたB2Bビジネスを携わる。2016年には日本上場企業傘下の新規VR事業の立ち上げメンバーに就任し、要職を歴任。2021年11月にKnowBe4の日本法人である KnowBe4 Japan合同会社に入社。日本法人営業統括本部長に就任し、日本法人の営業活動全般を総括する。英語・日本語・中国語の3か国語に堪能。2021年4月に米ナスダック市場に上場し、日本市場での新たな展開を開始したKnowBe4の中核メンバーとして日米の橋渡し役を果たす。ロンドン大学経営・経済学卒業、アデレード大学MBA取得。

＜ ITセキュリティの問題点＞

問題１： テクノロジーソリューションは万能ではない

多くの日本企業はテクノロジーソリューションを新たな脅威に対抗するために次々と導入しているが、これに伴い必要な人材やプロセスも増えている。これが続くと、「テクノロジー」、「プロセス」、「人」が複雑に絡み合い、積み重っていく。複雑さのレベルが幾何学的に増加してくる。結果、企業の多くは、テクノロジーソリューションを導入するために、多額なIT予算を投資し続けている。しかしながら、テクノロジーだけによる防御は完璧ではない。実際に、サイバー犯罪者が狙っているのは、テクノロジーの脆弱性に加えて、ヒューマンエラーである。サイバーセキュリティの米国企業リーダーは、サイバー防御チェーンの中で「人」が最も脆弱なリンクであると考えている。サイバー攻撃者が仕掛ける罠は、ますます巧妙化している。考えさせずに、クリックさせるように、罠を仕掛けてきている。巧みに「人」を狙うサイバー攻撃に対抗するためには、これまでのテクノロジー主体のセキュリティ対策から「人」による防御を主体に考える発想の転換が必要になってきている。

証言1： “セキュリティシステムはすべてに全勝しなければならないが、攻撃者は1回勝利すれば良いのである。”

　　　— Dustin Dykes (ダスティン・ダイクス) Dallas Hackers Association創立者

証言2：“多額な費用をかけてテクノロジーやサービスを購入しているが、ネットワークインフラは依然として昔ながらの巧妙な手口には脆弱のままである。”

　　　 — Kevin Mitnick (ケビン・ミトニック)

 問題2： 旧態依然のセキュリティ教育

「社員一人ひとりのセキュリティ意識レベルを重要視している欧米先進国の企業と比較すれば、日本企業の意思決定の遅さによって数年も遅れている」と、KnowBe4 Japanの営業を統括するガブリエル・タンは述べている。では、日本企業におけるセキュリティ教育は近年変わってきているのであろうか？日本企業のセキュリティ担当に尋ねてみると、IT教育の一環として万全なセキュリティ教育を実施していると答える。しかし、実態は、入社時の集合研修と年に1回や2回のセキュリティ教育だけである。このようなセキュリティ教育には、次のような問題点があることを認識すべきである。

• セキュリティの脅威を一般的に注意喚起するだけでは、従業員のセキュリティ意識は高まることはない。
• うっかりミスを犯すという「人」の本質と戦わなければ、どの時点においても事故は起こりうる。
• 従業員が習慣として身につけることは、知識として知っていることよりも極めて重要である。集合型の研修でセキュリティ用語をいくら教育しても、攻撃を止めることはできない。

入社時の集合研修や年に1回や2回のセキュリティ教育では、この問題点を解消することはできない。セキュリティテクノロジーを学習することではなく、サイバー犯罪の脅威を実感し、いかに防御するかを行動習慣として身に付けることが必要とされている。サーバー犯罪の被害は、「すみません。私が責任を取ります」で済むようなものではない。セキュリティ教育は、ヒューマンエラーを組織としての問題と捉え、セキュリティリテラシーからセキュリティアウェアネスへの転換が必要である。

サイバー攻撃は、テクノロジーの面から語れば、退屈なeラーニングになるのは必然である。Netflixでお好みの映画やTV番組を見るのが当たり前になっている今、会社命令で受講しなければならない退屈なeラーニングほど、苦痛なものはないのではないでしょう。「楽しんで受講してもらえるデジタル時代に対応した新しいスタイルのセキュリティ教育 (KnowBe4では”New School”と呼んでいる) が必要である」とガブリエル・タンは述べている。KnowBe4のセキュリティトレーニングの最大の特徴は、印象的な体験談あるいはエピソードを物語風に展開して、従業員一人ひとりの記憶に刷り込むことで、ソーシャルエンジニアリング手口と対処法を効率的に学ぶことである。10分ほどの各エピソードをドラマチックに訴求して、次のエピソードへ展開していくが、これはまさにセキュリティ意識向上トレーニングにおけるNetflixである。これこそが、集合型のセキュリティ研修が主体の日本企業のセキュリティ教育に一石を投じる教育コンテンツである。（参考までに、ぜひThe Inside Man シーズン2の日本語吹替予告編をご覧ください。

新しいスタイルのセキュリティ教育のもう1つ特徴が、KnowBe4のプラットフォームとしての価値です。KnowBe4は、eラーニングによるセキュリティ意識向上トレーニングと並行して本番さながらなソーシャルエンジニアリング攻撃の演習を組み込んでいる。これを通して、セキュリティの脅威を実体験することである。机上の論理を学ぶだけでは、日々巧妙化する手口を駆使するサイバーテロリストや攻撃者のサイバー攻撃に実環境で対応することができない。

さらに、KnowBe4の統合型プラットフォームとしての価値が、学習の成果を可視化・分析することである。セキュリティ意識向上トレーニングの受講状況に加えて、ソーシャルエンジニアリング攻撃の演習の結果を管理者ダッシュボードから“見える化”して、セキュリティ意識向上トレーニングの効果を測定することが大切である。この効果測定からセキュリティ意識向上トレーニングを改善することができる。セキュリティ意識向上トレーニングは、継続的に実施されるもので、Train-Phish-Analyzeのサイクルこそがその源泉です。

＜組織全体での取り組み：「社員一人ひとり」に”Human Firewall”を根付かせる＞

テクノロジーの脆弱性を攻めるよりも、「人」の脆弱性を攻めるほうが簡単であることをサイバー攻撃者は知っている。今、企業のネットワークシステムは、自社インフラの枠を超えて、関連会社・提携企業へと繋がっている。「社員一人ひとり」に”Human Firewall”を根付かせるという活動は、企業組織のエコシステム全体を横断して、早急に実施していく必要があることを物語っている。

＜まとめ＞

社員一人ひとりのセキュリティ意識レベルを重要視している欧米先進国の企業と比較すれば、日本企業の意思決定の遅さによって数年も遅れている。この根本原因は、サイバーリスクはテクノロジーの問題として扱われていることである。サイバーリスクは取締役会で監査されるべき問題であり、セキュリティ第一のセキュリティ意識改革はコンプライアンス（法令遵守）／リスクマネジメントの一環としてトップダウン型で実施されるべきである。

KnowBe4 Japan合同会社