サイバーセキュリティ対策の基本：経営幹部から末端の従業員までの全員参加

なぜ全員参加が必要なのか？

今年6月に、日本政府は、電力や通信といった重要インフラ事業者に対して、サイバーセキュリティ対策に関する行動計画を5年ぶりに改定した。サイバーセキュリティ対策を専門部署任せにせず、経営陣の責任だと明確にした。同時に、事業者にサイバー攻撃からの防護体制の強化を促した。さらに、会社法で経営陣に義務づける社内体制の整備に「適切なサイバーセキュリティを講じる義務が含まれ得る」と明記した。この行動計画で指摘されているポイントとして、セキュリティ対策の不備が原因で情報漏洩などの損害が生じれば、経営陣が「賠償責任を問われ得る」と強調したのに加えて。重要インフラのサイバー防護対策について、経営陣を含めた「組織一丸の対応が求められる」と記載している。

ここで、考えていただきたい。このような行動計画は、重要インフラに限定したことなのであろうか。日経新聞は、日本を代表する大企業の多くが、サイバーセキュリティ対策が不十分であると指摘している。同紙は、「日経平均を構成する225社を対象とした日本経済新聞の調査によると、サイバー攻撃を受ける危険性がある企業は4割弱に上り、米国の主要500社より高かった。自動車や機械など大規模製造業が低評価を受けた。工場などの製造現場に残る古いシステムのネットワーク環境や情報端末が弱点となる場合が多く、早期の改善が求められる」と報じている。

あなたの企業において、サイバーセキュリティはどのように取り扱われているでしょうか。

昨今のサイバー攻撃被害の現状を考えると、サイバー攻撃はもはや対岸の火事ではない。今、あなたの企業に起きてもおかしくない。ここで、消防法令より義務付けられている防災訓練のことを考えていただきたい。サイバー攻撃への対策は、防火訓練と全く同じで、業種・組織規模に関わらず、全員参加のサイバーセキュリティ訓練の実施は不可避な現状となっていると言える。

１回の従業員のフィッシングメールへのクリックが会社経営に大きな影響を与える大惨事を招く

次に、最近のサイバー犯罪の事例として、小さな人的なミスから始まったサイバー攻撃が企業に大きなダメージを与えたという米国での事例を紹介したい。米大手ビジネス誌が、米ネットワーキングジャイアント企業がハッキングされたことを最近の同誌の記事で報じているが、この発端は同社の従業員の個人的なGoogleアカウントへのフィッシングによるものであったことを明らかにしている。この攻撃の成功を踏み台にして、ネットワークの認証情報が漏洩し、VPNにアクセスすることにハッカーは成功している。この事例から学ぶべき教訓として、米ネットワーキングジャイアント企業はこの攻撃を完全に封じ込めるまでに3か月以上の長期を要していることに注目してほしい。ハッカーによって一旦侵入されると、強力なセキュリティ対策部隊を持つ大手企業でも完全に封じ込めることは至難の業であることを学習すべきである。

ここでもう１つ、ランサムウェア攻撃の被害を受けた米大手ホテルチェーンの事例を紹介する。某米大手ホテルチェーンは、2回の情報漏えいに見舞われている。2回目のケースでは、サイバー犯罪集団はソーシャルエンジニアリングを使ってホテルのスタッフの1人に忍び寄り、その同僚のコンピューターへのアクセスに成功している。ソーシャルエンジニアリングについては、2022年5月17日に公開した弊社のストーリー https://prtimes.jp/story/detail/YbjL5Yf48Pxを参照いただきたい。

この2つの事例は、サイバーセキュリティ対策の基本：経営幹部から末端の従業員までの全員参加が必須であることを端的に示している。今回のストーリーは、このサイバーセキュリティ対策の基本を紐解き、経営幹部から末端の従業員までの全員参加プロジェクトの実施をどうすれば実現できるかを解説していく。

サイバー犯罪への防御は終わりのない戦いである

サイバー攻撃について、原点に戻って考えてみる。攻撃者とは、どんな人物なのであろか。愉快犯からプロのハッカー・テロ集団・国家レベルのサイバー攻撃集団など、様々である。ここでは、企業を狙う攻撃者に限定して、話を進めていく。弊社のチーフハッキングオフィサーを務めるケビン・ミトニックが弊社の販売パートナーである東陽テクニカ様主催のセミナーで基調講演しているが、そこで「ソーシャルエンジニアリングを使えば、100%ターゲットシステムに侵入できる」と標的型攻撃の怖さを語っている。人を狙う攻撃は人で守らなければならないという理解は、日本市場においても認知されてきている。また、この基調講演の中でケビンはハッカーの目的は何かという問いにズバリこう答える。「金儲けだ」と。

サイバー攻撃は闇のビジネスなのである。その市場規模は、今や麻薬・覚せい剤市場を超える。KnowBe4のデータドリブン防御エバンジェリストである ロジャー・グライムスは、狙いやすい標的であるという評判を持たれないことが重要だと指摘している。

これを裏付ける良い例がサイバーリーズン社の最近のレポートから知ることができる。このレポートによると、過去12ヶ月間に73%の組織がランサムウェアの攻撃を経験していることを明らかにしている。また、身代金を支払った組織の80%が2回目のランサムウェアの攻撃を受けていること、そして68%が2回目の攻撃は1ヶ月以内に起こっていると報告している。

サイバー犯罪はさらに組織化され、巧妙化の一途をたどっている。また同時に、ハッカー達のブラックマーケットでは、犯罪を容易に実行できるようにする個人情報や攻撃キットが売り買いされている。誰でも簡単にサーバー攻撃集団の手下となってしまうのである。

この悪のビジネスは増殖し続けるであろう。この終わりのない戦いに立ち向かうには、組織一丸となって、セキュリティ意識を高め、サイバー犯罪への注力を怠らないことである。

日本のトップマネジメントのサイバーセキュリティに対する認識

KnowBe4は、2020年8月14日付けのプレスリリース「最新動向：従業員のためのセキュリティ意識向上トレーニングは最重要課題である」 https://www.knowbe4.jp/press/cisos-say-security-awareness-training-for-employees-is-top-priority-japan-original-press-release-about-cybercrime-magazine-contentで当時の米国でのセキュリティ意識についてレポートしているが、2022年9月現在での日本のトップマネジメントのサイバーセキュリティに対する認識はどうであろうか。2年前の米国での認識と比べて見れば、日本は立ち遅れていると言わざるを得ない。本ストーリー執筆者であるKnowBe4日本法人営業統括本部長であるガブリエル・タンは、この根本要因について、「まだ多くの経営幹部は、サイバー犯罪を対岸の火事と捉える傾向がある。また、日本はこれまで日本のビジネスの特異性によって守られてきたためではないだろうか」と指摘する。英語・日本語・中国語の3か国語に堪能に操るガブリエルは、「日本の常識は世界の非常識と言われるように、日本人なら、知っていて当たり前だと思える業務や習慣などのビジネス常識も、外国人にとっては、分からないことだらけである。日本のビジネスの90%は日本語で行われている。しかし、国際取引となれば、そうはいかない。サイバー攻撃者にとってもここが狙い目である。今、日本企業や日本人は美味しい標的となってきている」と警告を発している。もう1つ、ガブリエルが指摘するポイントがある。それは、ＡＩ翻訳・通訳の進化である。もう言語障壁で、日本が守られていると考えるのは禁物である。認定セキュリティアウェアネス&カルチャープロフェッショナル（SACP）でもあるガブリエルは、「今、日本は、トップマネジメントを巻き込んだ全員参加のセキュリティ意識向上とトレーニングプログラムが不可欠である」と日本企業に警告を鳴らしている。

KnowBe4日本法人営業統括本部長

ガブリエル・タン略歴

ガブリエル・タンはシンガポールから1990年来日して以来、グローバル人材として日本市場で活躍。日本の電気機器メーカーにおいて海外営業を携わった後、シンガポール政府系の複合企業にて日本を含むアジア太平洋地域（APAC）を中心に多岐にわたる業界の日本企業との新規事業開発・提携プロジェクトを担う。その後に、デジタルコンテンツとワイヤレス技術関連製品・サービスを提供するシンガポール企業の日本法人の設立と代表を務め、インターネット・モバイルアプリケーション、AR・VRなどの先端技術分野を核にしたB2Bビジネスを携わる。2016年には日本上場企業傘下の新規VR事業の立ち上げメンバーに就任し、要職を歴任。2021年11月にKnowBe4の日本法人である KnowBe4 Japan合同会社に入社。日本法人営業統括本部長に就任し、日本法人の営業活動全般を総括する。英語・日本語・中国語の3か国語に堪能。2021年4月に米ナスダック市場に上場し、日本市場での新たな展開を開始したKnowBe4の中核メンバーとして日米の橋渡し役を果たす。

ロンドン大学経営・経済学卒業、アデレード大学MBA取得。認定セキュリティアウェアネス&カルチャープロフェッショナル（SACP）。

経営陣の全面的なサポートを獲得するには

ここまでに、トップマネジメントを巻き込んだ全員参加のセキュリティ意識向上とトレーニングプログラムが、何故、必要なのかを説明してきた。では、どのようにしたら、経営陣の全面的なサポートを獲得することができるでしょうか。KnowBe4では、この問題を解決するために、日本語版ホワイトペーパー「セキュリティ意識向上トレーニングプログラムの実施に向けて、経営陣の全面的なサポートを獲得するには」を用意している。ここで、そのポイントをご紹介する。

経営陣からの理解を得る

セキュリティ意識向上トレーニングプログラムを立ち上げるにあたり、経営陣からの理解を得ることは簡単ではない。経営陣の多くは、サイバーセキュリティを情報システム部門が対処すべき問題と捉えていることにその理由がある。これまで、サイバー攻撃をテクノロジーソリューション中心に考えられている。しかしながら、ますます巧妙化するサイバー攻撃の大半は、「人」の心理的な隙や、「人」が生み出す人的なミスから始まっていることが認知されるようになってきている。セキュリティ意識向上トレーニングは、サイバーセキュリティプログラムの人的防御の中核となるものであり、経営陣が人的防御の必要性を理解するか否かがセキュリティ意識向上トレーニングプログラムの採用の決め手となるのである。

経営陣の全社的な理解を得るには、関連部門間の根回しと調整が必須であるが、ここには複雑な部門間の利害関係が発生する。そして、もう1つの障害は、セキュリティ意識向上トレーニングプログラムは企業に直接的な利益をもたらすものではないことだ。

ベストプラクティス1：取締役会で討議すべき緊急課題としての認識

ほとんどの企業では、セキュリティ意識向上プログラムの採用が取締役会の議題に上がることは稀である。そのため、起案者はまず自分が所属する部門の役員にセキュリティ意識向上トレーニングが何故必要なのかを効果的に伝え、計画していることの真の価値と自社にとっての利点を強調することが初めの1歩である。

ベストプラクティス2：提案を効果的に伝えるためのコミュニケーション戦略

あなたの提案を効果的に伝えるためには、まずは何を目指しているのかを訴求することが必要である。重要なことは、単に数字やパーセンテージ、業界統計を示すことだけではない。セキュリティ意識向上トレーニングが組織のセキュリティ戦略に欠けていること、そして人的防御が必須の要素であることを伝えることが先決である。あなたの訴求ポイントをまとめる際には、この3ステップのプロセス“What（それは何か）” 、“So What （だから何なのか）”、“Now What（今何をするのか）”）を常に念頭に置き、自分の言いたいことを効果的に伝える。

ベストプラクティス3：経営陣の注目を惹きつける

3つ目のベストプラクティスは、経営陣の注目を惹きつけることである。このために有効な3つのステップは次の通りである。

1.    経営陣にとってのメリットが訴求する

2.    実施内容と導入メリットの関連性を明確に示す

3.    「見える化」によって訴求ポイントをまとめる

具体的に提案内容の正当性を実証することである。例えば、Phish-prone™ Percentage（PPP）によって同業他社との数字と比較する。ここでは、他社に比較して遅れをとっているなど、感情に訴えることを恐れてはいない。

経営陣を巻き込む

経営陣の全面的なサポートを獲得するための最終ステップが、経営陣を巻き込むことである。経営陣全員が、緊急の経営課題として、自社のサイバーリスクを把握し、サイバー被害を未然に防ぐための人的防御の必要性を認識してもらうことである。経営陣全員が、この人的防御の課題を主体となって捉えてもらうことである。

＜まとめ＞

セキュリティ意識向上トレーニングは、短距離走ではなく、マラソンである。セキュリティ意識向上トレーニングを提案する場合、これが1回限りのイベントではないことに理解してもらう必要である。セキュリティ意識の向上トレーニングは、「1回セットしたら終わり」というプロジェクトではない。セキュリティ意識向上トレーニングを実施するにあたって理解すべきことは、セキュリティ意識向上トレーニングが「人」を狙う進化し続けるセキュリティ攻撃に対して継続的に対応することが求められるという終わりのない取り組みであることである。

定期的に注意を喚起しなければ、いったん実現した行動の変化も、元の状態に戻ってしまう。行動変化を常態化して、行動変容につなげることが必要なのである。さらに、セキュリティ意識向上から生まれた行動変容を組織全体に根付かせるためには、時間と一貫したコミットメントが不可欠である。セキュリティ意識向上トレーニングを通して、セキュリティ意識向上から行動変容、そしてセキュリティカルチャーの醸成を達成しなければ、一過性の成果に終わってしまう。そのため、経営陣には、この投資が継続と忍耐を必要とするものであることを強調することが重要である。

まとめとして、セキュリティ意識向上トレーニングプログラムが何故必要なのかを考えていただきたい。サイバー攻撃の大半は、「人」の心理的な隙や、「人」が生み出す人的なミス（従業員の行動）から始まっている。サイバー攻撃者が狙っているのは、1回のヒューマンエラーである。進化し続けるサイバー攻撃に立ち向かうためには、全社一丸となって、継続的なセキュリティ意識向上トレーニングを実施することは不可欠である。セキュリティ意識向上トレーニングについて、各役員と個人レベルで話し合い、粘り強く取り組むことを約束し、継続的にセキュリティ意識向上トレーニングプログラムを行うことのメリットについて話し、説得することである。サイバー攻撃の被害は、もう対岸の火事ではない。皆さんの会社で、明日起きてもおかしくはない。

最新ホワイトペーパーの配布申し込み：日本語版ホワイトペーパー「セキュリティ意識向上トレーニングプログラムの実施に向けて、経営陣の全面的なサポートを獲得するには」

KnowBe4が協賛する10月4日から開催されるSecurity Days Fall 2022および10月6日から開催されるNetworld X 2022の会場で、本ホワイトペーパーの配布申し込みを受け付けます。

本ストーリーの執筆者であるガブリエル・タンがSecurity Days Fall 2022のKnowBe4プラチナスポンサーセミナーに登壇

グローバルな視点から日本におけるセキュリティ意識向上トレーニングの問題点を考察し、「KnowBe4のセキュリティ意識向上トレーニングは何が違うのか」を具体的に紹介します。

https://f2ff.jp/introduction/6655?event_id=secd-2022-02-tokyo

――――――――――――――――――――――――――――――――――――――

KnowBe4 Japan合同会社

KnowBe4 Japan 合同会社 〒100-6510 東京都千代田区丸の内1－5－1　

新丸の内ビルディング10F　EGG 内

電話 03-4586-4540　eメール info@knowbe4.jp

＜KnowBe4について＞

KnowBe4（NASDAQ: KNBE）は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT／データセキュリティ・エキスパートであるStu Sjouwerman（ストゥ・シャワーマン）によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素：ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺（BEC）を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick（ケビン・ミトニック）がCHO（Chief Hacking Officer）を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2022年7月現在、 5万2千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp　をアクセスしてください。