サイバーセキュリティ対策に起きる地殻変動: 「人」を狙う攻撃は「人」で守る

KnowBe4が提唱するHDR（Human Detection and Response）の概念とは、何か？

なぜサイバー攻撃は減らないのか？

日本企業を標的とするサイバー攻撃が急増していることは、共通理解となってきています。サイバー攻撃に関する記事が日常的に新聞やSNS媒体で報道されています。

このストーリーを始めるにあたって、なぜサイバー攻撃が減らないのかを考えていきたい。皆さんの会社や組織は、巨額な資金をサイバーセキュリティ対策に投じています。その結果、莫大の数のサイバー攻撃は遮断されています。しかしながら、無視できない数のサイバー攻撃がこのセキュリティ対策の防御網をすり抜けています。また、もう1つのサイバーセキュリティ対策の問題が、日本企業のサイバー対策に対する経営課題としての認識が十分でないという実態です。昨年末の日経新聞の報道によると、サイバーセキュリティを統括する最高情報セキュリティ責任者（CISO）を設置している日本企業が4割にとどまっています。これに対して、米豪は9割を超えていると報じています。

KnowBe4 Japan合同会社は、日本市場へ進出して3年が経過しようとしています。KnowBe4 Japanは、数々の商談から日本企業・組織のサイバー攻撃対策における問題点を学んできました。

KnowBe4 Japanが学んだその最大の問題点は、サイバー攻撃対策をテクノロジーの問題と考えていることです。次の根本的な問題が、企業ネットワークの構造的な変化から生まれるセキュリティリスクです。企業ネットワークは、関連会社や業務提携先を包括するサプライチェーンへ、また、接続されるデバイスの統合から見れば、IoT（Internet of Things）と進化し続けています。多くの日本企業・組織はこの有機的な繋がりを認識しているものの、繋がることの利点が先行して、その脅威を日本企業・組織が経営課題として十分に理解していないことです。

次に、KnowBe4が学習した日本企業・組織のサイバー攻撃対策における問題点を簡単にまとめます。

＜KnowBe4が学習した日本企業・組織のサイバー攻撃対策における問題点＞

1. サイバー攻撃対策をテクノロジーの問題と考えていること
2. 企業ネットワークは1つのコネクテッドネットワークへと移行しているが、「つながる」ことの怖さの認識が不十分であること
3. サイバー攻撃者は最も脆弱なリンクから侵入してきているが、この根源はたった1回の「人」によるミスであることが十分に認識されていないこと
4. サイバーセキュリティは、従業員一人ひとりのコンプライアンスとして、取締役会で監査されるべき問題として捉えるべきことを、経営陣の多くが認識していないこと

今こそ、サイバー攻撃対策における問題点を原点に戻って、なぜサイバー攻撃の被害が減らないのかを、このストーリーでは探究してみたい。

サイバーセキュリティ対策への投資を見直す

サイバー攻撃対策を「棚卸し」すべきときが来ているのではないでしょうか。　

次のチャートを見ていただきたい。ITセキュリティ製品への支出は増加し続けていますが、データ侵害の報告件数は、一向に減少しません。

ここで、ITテクノロジー投資の割合を確認してみると、人的防御対策への支出は3%にも満たないことが示されています。では、サイバー攻撃の発生源を調べてみると、米Verizon社の2022年度版Verizonデータ侵害調査報告(Verizon 2022 Data Breach Investigations Report）は今年のデータ侵害の82%は人的要素が関与していると報じています。

サイバーセキュリティ対策に地殻変動が起きている

今、日本市場では、フィッシングメール攻撃やランサムウェアなど様々なサイバー攻撃が急増する中で、サイバーセキュリティ対策に関する地殻変動が起きつつあります。多くの日本の企業や組織が、セキュリティテクノロジーだけではサイバー攻撃者が巧みに仕掛けてくる「人」を狙うセキュリティ攻撃を防御することがますます困難になっていることに気がつき、サイバーセキュリティ対策における人的防御戦略の必要性を認識し始めています。KnowBe4 Japanは、ここにきて、次々に新規販売代理店との販売契約を締結していますが、販売パートナーのKnowBe4を追加する目的は、サイバーセキュリティ対策における人的防御戦略の強化です。この傾向は、世界的なもので、KnowBe4の主張だけを反映するものではなく、他のセキュリティベンダーを含む多くのセキュリティ分野の専門家やリーダーが、「People-centric」、「People-centered」、「Human-centric」、「Human-centered」などの言葉を使って「人」を中心と考える戦略やアプローチを訴求しています。

人的防御層（ヒューマンデフェンス・レイヤー）への市場デマンドの増大

ここで、攻撃者の視点からサイバー攻撃を見てみよう。これについて、興味深いKnowBe4のブログ https://www.knowbe4.jp/blog/dont-let-high-tech-distract-you-from-low-tech（「うまく頼めば、情報は人から聞き出すことができる」 - ハイテクに気を取られて、ローテクの脅威を見逃すな）を紹介したい。このブログで指摘しているように、「人」を狙う攻撃が最も費用対効果の高い手口であることと攻撃者たちは考えていることです。

これこそが、人的防御層（ヒューマンデフェンス・レイヤー）の必要性が認識され、人的防御への市場デマンドが増大している背景であると、KnowBe4は考えています。

KnowBe4が提唱するHDR（Human Detection and Response）の概念とは、何か？

このテーマに入る前に、「お客様の既存のセキュリティテクノロジーインフラ内で今何が起きているのであろうか」を考えてみたい。サイバー攻撃の巧妙化と大量化によって、様々なユーザーの危険なセキュリティ行動が繰り返し発生し、セキュリティアラートが多発しています。SOCアナリストは、このような多発するセキュリティツールのアラートに対応することが困難になっています。この現状を解消するために、XDR（Extended Detection and Response）という概念が生まれ、多くのセキュリティテクノロジーベンダーがこの製品を投入しています。XDRは主に「複数のセキュリティ機器・サービスからログを収集する」「集めたログを相関分析する」「異常を検知・通知する」の3つの機能で構成されます。XDRには、さまざまな企業が参入しており、それぞれの立場によってアプローチが異なりますが、XDRの対象者はIT/セキュリティ管理者/部門です。例えば、トレンドマイクロは、XDRを「XDRとは、クロスレイヤーの検知と対応です。XDRは、メール、エンドポイント、サーバー、クラウドワークロード、ネットワークという複数のセキュリティレイヤーにわたってデータを収集して自動的に相関付けます。これにより、脅威の検知を迅速化し、セキュリティアナリストは調査と対応にかかる時間を向上させることができます」と定義しています。

では、KnowBe4が提唱するHDR（Human Detection and Response）の概念とXDRとは、何が違うのでしょうか。KnowBe4が提唱するHuman Detection & Response （HDR）は、危険な行動に関して、既存のセキュリティインフラ内で検出されるイベントを人的防御の観点から相関付けして、特定・対応することを目指すものです。HDRは、多様化するセキュリティツールを統合して、複雑さを軽減することを最終目的としていますが、HDRの対象者は、ビジネス現場のエンドユーザーである従業員です。つまり、HDRがXDRと明確に異なることは、「人」の視点からセキュリティレイヤーを統合している点です。具体的には、KnowBe4のHDRはKnowBe4プラットフォーム（人的防御層「ヒューマンファイアウォール」）と完全に統合されるかたちで実装されるものです。

ここで、KnowBe4の人的防御層「ヒューマンファイアウォール」について、再確認してみたい。次に示すように、KnowBe4は創業以来、サイバー攻撃に対処するためには、第8層として人的防御層「ヒューマンファイアウォール」が必要であることを訴え続けています。

つまり、XDRでは、第8層（人的防御）というセキュリティ対策に不可欠な要素が欠けています。HDRは、「人的防御」の要素（ヒューマンファイアウォール）をさらに強化するために誕生したのです。XDRと一線を画すHDRは、サイバーセキュリティの人的防御層（ヒューマンデフェンス・レイヤー）の形成・構成に重点を置く、新しいサイバーセキュリティのカテゴリーなのです。そして、この新しいサイバーセキュリティのカテゴリー「HDR」を製品として実装したものが、業界初のリアルタイム・セキュリティコーチング製品「KnowBe4 SecurityCoach」です。

KnowBe4が製品統合を超えて目指すもの： 行動変容を生み出し、新しい行動習慣を常態化し、より強固なセキュリティカルチャーの形成につなげる

ここで、KnowBe4のアプローチを理解しやすくするために、別の角度から行動変容について考えてみたい。最近話題になっている「小さなきっかけで人間の行動を一変させる」ナッジ(Nudge)理論について情報共有してみたい。ナッジ理論は、2017年にノーベル経済賞を受賞した行動経済学者リチャード・セイラー教授によって提唱され、アメリカの企業を中心に世界的に広まってきていました。同教授は、私たちは何かのやり方を変えるよう「“nag(ナグ)”（しつこく文句を言う）」されたときよりも、「“nudge (ナッジ)” （肘で軽く突く）」されたときの方がずっと良い結果を出すと、nudge (ナッジ) の効果を説明しています。これは、KnowBe4のアプローチに通じるものです。KnowBe4が目指すところは、行動変容からセキュリティカルチャー形成への進化なのです。これまで、KnowBe4では、他のセキュリティ意識向上トレーニングプロバイダーとは一線を画し、新しいスタイルのセキュリティ意識向上トレーニング（KnowBe4では“New School”と呼ぶ）を提供しています。KnowBe4が提供するセキュリティトレーニングは、オンデマンド、インタラクティブ、個別対応のeラーニングを含むさまざまな利用形態で実現されます。同時に、KnowBe4のトレーニングは本番さながらなソーシャルエンジニアリング攻撃の擬似体験を可能にする訓練と並行して実施されます。KnowBe4のセキュリティ意識向上トレーニング（SAT）プラットフォームは、一方向の学習だけではなく、ソーシャルエンジニアリング攻撃の模擬体験による「気づき」を与えることで、行動変容を生み出し、新しい行動習慣を常態化し、より強固なセキュリティカルチャーの形成につなげています。KnowBe4のセキュリティ意識向上トレーニング（SAT）プラットフォームと完全統合されるSecurityCoachは、これを一歩先に進化させるものです。

最後に、SecurityCoachについて、簡単にまとめて、今回のストーリーを締め括りたいと思います。

KnowBe4が製品統合を超えて目指すもの： SecurityCoachから生まれる行動変容からセキュリティカルチャー形成

SecurityCoachは、HDRの概念を製品として実装したものです。SecurityCoachは、ユーザーの危険なセキュリティ行動に対するリアルタイムのセキュリティコーチングによって、危険な行動を犯したユーザーの行動変容を促し、セキュリティカルチャーの醸成につなげます。企業内にすでに導入されているセキュリティツールやソリューションを活用し、リアルタイムのコーチングキャンペーンを設定することができ、ピンポイントで適切なセキュリティコーチング（SecurityTip）をユーザーに配信することが可能になります。

SecurityCoachは、危険な行動に対する行動変容を促すリアルタイムのセキュリティコーチング（気づき）を危険な行動を犯したユーザー一人ひとりに与えます。SecurityCoachは、KnowBe4のセキュリティ意識向上トレーニング（SAT）プラットフォームと完全に統合されています。これによって、1つのプラットフォームから様々のセキュリティ製品やツールからのアラートデータを管理することができるようになります。「人」を標的とするソーシャルエンジニアリングは、従来型の物理的なサイバーセキュリティ防御層に加えて、サイバーセキュリティ防御層を侵害する何らかの方法を駆使して、ユーザーの弱点を突いて攻撃を仕掛けられてきます。KnowBe4は、SecurityCoachを投入することで、エンドポイント、ネットワーク、アイデンティティ、クラウド、データセキュリティなどの様々なサイバーセキュリティ・ソリューションと統合または連携しています。KnowBe4の目指すことは、単なる製品統合を超えて、行動変容からセキュリティカルチャー形成を生み出し、抜本的な人的防御対策を支援することです。

＜まとめ＞

定期的に注意を喚起しなければ、いったん実現した行動の変化も、元の状態に戻ってしまいます。セキュリティ教育を実施しているから、「うち」は大丈夫と思っている経営陣が多いのではないでしょうか。まずは、セキュリティ教育から行動変化起こし、これを常態化して、行動変容につなげることが必要であることを認識しなければならないのです。ここで行き着くところが、カルチャー（文化）なのです。つまり、文化として最終的に組織に根付かせない限り、一過性の成果に終わってしまうことを理解する必要があるのです。今回のHDRとSecurityCoachの発表は、これを一歩先に進化させるものです。

SecurityCoachについて、さらに知りたい方は、https://www.knowbe4.com/hubfs/SecurityCoach-Overview-PG_JA.pdf をアクセスいただくか、またはKnowBe4 Japan合同会社までメール（info@knowbe4.jp）または 直接03-4586-4540 まで電話にてお問い合わせください。

――――――――――――――――――――――――――――――――――――――

KnowBe4 Japan合同会社

営業統括本部長　ガブリエル・タン

KnowBe4 Japan 合同会社 〒100-6510 東京都千代田区丸の内1－5－1　

新丸の内ビルディング10F　EGG 内

電話 03-4586-4540　eメール info@knowbe4.jp

――――――――――――――――――――――――――――――――――――――

＜KnowBe4について＞

KnowBe4は、人的防御層（ヒューマンデフェンス・レイヤー）の形成・構成に重点を置く、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT／データセキュリティ・エキスパートであるStu Sjouwerman（ストゥ・シャワーマン）によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素：ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺（BEC）を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick（ケビン・ミトニック）がCHO（Chief Hacking Officer）を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2022年10月現在、5万4千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp をアクセスしてください。