• セキュリティ
  • 教育
  • サイバー攻撃

AI時代に求められる新たなセキュリティ対策、進化したサイバー攻撃を防ぐには「人」への教育が必須


                                                                        knowbe4_article.webp

セキュリティ対策の必要性はもはや言うまでもなく、新たなセキュリティ機器・サービスの導入など積極的に投資している企業も多いでしょう。しかし、最近でも大規模な情報漏えいがニュースになるなど、セキュリティインシデントは後を絶ちません。その大きな原因の1つになっているのが、“人”です。人の心理的な隙や不注意に付け込むソーシャルエンジニアリングも増加傾向にあり、サイバー攻撃の被害を防ぐためのセキュリティ教育の重要性が高まっています。従業員へのセキュリティ教育と言えば、資料や動画コンテンツによる研修や年1回の標的型攻撃メール訓練などが挙げられます。ただ、「準備や実施の負担が大きい割に、効果が出ているのかが分からない」という声も多く聞かれます。

今回は、企業組織や従業員向けのセキュリティ教育プラットフォーム「KnowBe4(ノウビフォー)」を展開するKnowBe4 Japan合同会社の薮内氏と広瀬氏、SCSKの担当者に、“人”を標的にしたサイバー攻撃の動向、セキュリティ教育が抱える課題と解決策について詳しく聞きました。

KnowBe4 Japan合同会社 セキュリティエバンジェリスト 広瀬 努 氏

KnowBe4 Japan合同会社
セキュリティエバンジェリスト
広瀬 努 氏
KnowBe4 Japan合同会社 パートナーアカウントマネージャー 薮内 淳 氏

KnowBe4 Japan合同会社
パートナーアカウントマネージャー
薮内 淳 氏
SCSK株式会社 プロダクト・サービス事業グループ ネットワークセキュリティ事業本部 事業推進部 事業企画課 課長 尾﨑 一平

SCSK株式会社
プロダクト・サービス事業グループ
ネットワークセキュリティ事業本部
事業推進部
事業企画課 課長

尾﨑 一平
SCSK株式会社 プロダクト・サービス事業グループ ネットワークセキュリティ事業本部 事業推進部 事業企画課 澤田 華乃

SCSK株式会社
プロダクト・サービス事業グループ
ネットワークセキュリティ事業本部
事業推進部
事業企画課

澤田 華乃

ソーシャルエンジニアリングなどで、“人”が原因になるインシデントが増加

―― セキュリティ教育の必要性が高まっているとSCSKが考えている背景には何があるのでしょうか?
尾﨑 IT系の企業に限らず、一般企業でもIT活用が一般化している現在、ITリテラシーの必要性が高まっており、そのカテゴリの1つにセキュリティがあります。

サイバー攻撃の進化は著しく、セキュリティ機器だけですべてを防ぐことは困難です。IPAが公開している「情報セキュリティ10大脅威 2024(組織)」(※1)でも、人による操作が最終的な被害のきっかけになっているものが半数以上を占めていました。また、フィッシング対策協議会のレポート(※2)を見ても、フィッシングの被害件数は増え続けています。IDC Japanによると、2024年の国内セキュリティ市場は1兆円を突破すると予測され(※3)、セキュリティ機器やサービスへの投資は着実に増えているにも関わらず、それだけでは守り切れない現状が見えてきます。被害に遭わないためには従業員のリテラシーを高める必要があり、セキュリティ教育は急務と言えるでしょう。

出典:IPA情報セキュリティ10大脅威 2024(組織)

※1 出典:IPA情報セキュリティ10大脅威 2024(組織)
https://www.ipa.go.jp/security/10threats/10threats2024.html
※2:「フィッシング対策協議会 フィッシングレポート 2024」
https://www.antiphishing.jp/report/phishing_report_2024.pdf)よりSCSKにて作成
※3 出典:IDC Japan, 2024年3月「2024年の世界セキュリティ市場は2,385億米ドル、国内市場は初の1兆円超えの支出額を予測 ~IDC Worldwide Security Spending Guide を発行~」より
https://www.idc.com/getdoc.jsp?containerId=prJPJ51937824

広瀬氏 最近のトレンドとして、人の心理に働きかけてシステムに侵入するソーシャルエンジニアリングの脅威が増大していることが挙げられます。ランサムウェアの被害でも、感染経路を突き詰めて調査するとソーシャルエンジニアリングが原因にあるケースが多いです。これまで日本は、日本語という言語の壁、“ファイアウォール”に守られていたところがあります。不審なメールがきても、あからさまに日本語がおかしいため、すぐに見破ることができました。しかし今は、攻撃者の背景に国家がいるケースもあるほか、単発で翻訳を請け負う仕組みなども整ってきています。また、生成AIでも簡単に違和感のないメールを作れるようになり、「日本語で騙すクオリティ」が向上しています。まさに、日本語というファイアウォールが破られ、欧米並みにリスクが高まりつつある最中であり、特に日本は注意すべきタイミングです。

―― 具体的な手口はどういったものがあるのでしょうか?
広瀬氏 生成AIの進化は著しく、その人が話しているデータが少しあれば、簡単に音声を合成できます。この技術を悪用し、会社のCEOを騙って電話をかけ、偽口座への送金を促す詐欺なども登場しました。また、標的型攻撃も、実際の取引先を装ったメールで「見積もりと称したファイルを開くよう誘導する」「振込先口座の変更を依頼する」のように、いかにも業務に関係しそうな内容が自然な日本語で書かれているものが増えています。実際に送信したメールの返信を偽装するなど手口も巧妙化しており、見破るのはかなり難しいと言えるでしょう。

実際、日本の大手出版社がランサムウェア攻撃によって膨大な個人情報を流出したことが最近もニュースになりました。2024年8月、同社が被害を発表した時点で感染源は不明とされていますが、一部のマスコミは「従業員のアカウント情報がフィッシング攻撃によって窃取されたことが原因」との推測を発表しています。

―― これまで教育は、セキュリティ対策としてあまり重視されてこなかった印象です
薮内氏 最終的にインシデントを起こすのは人だと分かっていても、セキュリティはテクノロジーで守るのだという意識が多くの日本企業に強くあります。各種セキュリティ機器への投資は増えていても、人への投資はわずかに留まっているのが現状です。しかし、どんなセキュリティ機器でも、正規のユーザーや権限を用いた不正を防ぐのは困難です。セキュリティは、情報システム部門がテクノロジーで頑張ればいいと考えがちですが、大きな効果を期待できるのは人への教育です。

また、海外では「金融機関においては、上級管理職を含む全従業員のセキュリティ教育が必須」のような法規制・ガイドライン整備も進んでおり、遅かれ早かれこの波は日本にも来るでしょう。「とりあえず、体裁を取り繕うためにやっている」というセキュリティ教育では、ビジネスに支障が出るようになります。

広瀬氏 セキュリティ対策において、攻撃対象となる領域を把握・管理する「アタックサーフェスマネジメント(Attack Surface Management:ASM)」という考え方があります。ASMではITの領域がフォーカスされやすいですが、このほかにオフィスなどの物理的な領域、そして人という3つで論じられるべきです。中でも最も数が多く、攻撃を受けるリスクが高いのが人です。しかも、ITは機器を導入しさえすれば効果が出ますが、人のセキュリティ意識を高めるには相応の時間がかかります。一日も早く、人の教育に着手することをお勧めします。

セキュリティ研修、訓練メール…負担は大きいのに、効果が見えない

―― 何らかのセキュリティ教育を行っている企業が多いとは思いますが、どのような課題があるのでしょうか?
澤田 年1~2回、標的型攻撃メールの訓練を行っているという企業が多いですが、本当にこれで効果があるのかと疑問を感じているという声はよく聞きます。もっと回数を増やしたくても、訓練の結果を受けて該当者を抽出し、対象者へ都度セキュリティの最新動向や注意点など自作のトレーニング資料を展開することは、システム担当者にとって大きな負荷となっています。ましてや海外拠点を持つグローバル企業となるとトレーニング資料の多言語対応や、国内と同じような受講状況の管理や可視化は非常に困難です。結果として、工数をかけているのに効果が見えづらいという状況にあります。訓練の結果を含め、自社のどこが弱いのか、組織としての現状を可視化した上で適切なフォローアップができていないことが1番の課題ではないでしょうか。

広瀬氏 研修だけ、訓練だけと個別に実施しても、効果にはなかなかつながりません。研修を行った上で、テストし、その実践としての訓練を行い、効果を測定するまでの流れを作ることが重要です。また、従来のセキュリティ研修用コンテンツは、どう関心を持ってもらうかというアプローチが欠けていることが多く、従業員の関心を引けないことも課題でしょう。

セキュリティの意識を底上げするために、継続的な取り組みを

―― セキュリティ教育のあるべき姿・理想形を教えてください
広瀬氏 セキュリティ教育で目指すのは、従業員1人ひとりの意識を向上し、態度を変え、文化にしていくことです。

単に「攻撃メールなどの外的脅威を見破るための能力」だけでなく、顧客から預かっている情報や戦略性の高い情報を守るという観点も必要で、そのためには日常業務における振る舞いや教養から鍛えなければなりません。不正なアクセスに気付いたら、しかるべきところに報告することなども含めて、従業員が当事者意識を持って取り組めるようにするための教育が必要です。

澤田 教育はゴール設定が難しいのですが、費用対効果を図る上でも継続的なKPIを設定して取り組むことが重要です。そのためにも、「1回の模擬フィッシングメール訓練で、その開封率がどうだったか」というだけではなく、従業員の理解状況を可視化した上で、ユーザーやグループにあわせたコンテンツを配信するなど、最終的な効果を見据えて取り組める仕組みが求められます。

全世界で70,000社が導入。セキュリティ教育の理想を実現するプラットフォーム

―― KnowBe4はセキュリティ教育プラットフォームということですが、具体的にどのようなことができるのでしょうか?
尾﨑 KnowBe4では、可視化・教育・訓練の3つをプラットフォームとして一連の流れで提供しています。組織のセキュリティリテラシーを把握し、フィッシングメールの訓練を行い、その結果を教育に反映させながら、リテラシーの向上・改善を目指せることが強みです。

セキュリティーリテラシーの獲得に貢献

広瀬氏 KnowBe4は世界で70,000社に導入されており、セキュリティ教育の領域では頭ひとつ抜けていると自負しています。これにより、どういったコンテンツが求められているか、成果につながるのかなど、収集できるデータも多くなり、結果として圧倒的なベンチマークの数と精度を実現しています。さらに、豊富な実績があるからこそコンテンツ充実への投資も可能になり、1,800以上あるコンテンツは更に増え続けています。また、言語対応については34か国語でコンテンツを提供しており、日本にもコンテンツチームがおり、ローカライズなどの対応力も強みです。海外拠点のセキュリティ教育の管理全体は日本本社で行いつつ、欧州・米国などそれぞれの支社に権限を分散する仕組みもあります。

KnowBe4で提供されるコンテンツのイメージ

KnowBe4で提供されるコンテンツのイメージ

薮内氏 コンテンツは、関心を持ってもらうために連続ドラマ風にするなどのバリエーションも持たせており、旧来のトレーニングとは一味違ったものになっています。メールに注意するだけでなく、テールゲーティング(社員がオフィスに入る際に一緒にゲートをすり抜けるなど、不正にオフィスに侵入する手法)への注意喚起など、物理・電子を含めて全体的なセキュリティ意識を高めるコンテンツを豊富に用意しています。さらに「CEOがよく遭う詐欺のパターン」など、経営層に対する啓発コンテンツまで充実させているのは、KnowBe4ならではの強みです。
またトレーニング・コンテンツを用意して終わりではなく、「改善が必要な従業員に対し、追加トレーニング受講を自動で案内する」など、継続的なセキュリティ教育の取り組みを支援する機能を揃えています。さらに自社のセキュリティカルチャーについて「日々の振る舞い」「報告」「暗黙のルール」など7つの指標で計測、同業他社と比較する機能もあり、現状から弱点などを把握することができ、企業全体でのセキュリティ強化とリスク軽減を実現します。

コンテンツの一例「The Inside Man: シーズン 1 – 予告編」
セキュリティ教育プラットフォーム【KnowBe4】映画風コンテンツ The Inside Man: シーズン 1 – 予告編(日本語吹替版) (youtube.com)

KnowBe4とSCSKが密に連携し、導入~運用、定着までサポート

―― SCSKではどのようにKnowBe4の導入や活用を支援しているのでしょうか?
尾﨑 豊富なコンテンツはKnowBe4の魅力ですが、企業にはどこからはじめればよいか分からないという悩みもあります。どう活用するのか、どのコンテンツからスタートするのが良いかなど、KnowBe4のカスタマーサクセスと連携しながら支援していきます。SCSKにはセキュリティ関連ビジネスの豊富な実績があるため、セキュリティインシデントの傾向などから、どの領域を重点的に教育すべきかなどのアドバイスの提供も検討しています。

澤田 日本語でのテクニカルサポートにも対応しており、技術的なお困りごとがあった際には日本語でご支援いたします。また、SCSKが独自で作成した管理者向けマニュアルも用意しており、導入時の負担軽減を図っています。

さまざまな角度から、セキュリティ意識向上を後押しする取り組みを推進

―― 今後の取り組みなどを教えてください
澤田 今は、セキュリティに関して企業文化が転換期にあると感じています。情報システム部門から一方的にお願いするのではなく、従業員も自らセキュリティ意識を高めていこうという啓発も重要です。その1つとして、KnowBe4には、疑わしいメールを受け取った従業員が管理者に通報する機能があります。社内通報制度を整えたいという切り口から、お客様がKnowBe4に興味関心を持っていただくケースも多いです。管理部門と従業員双方からのセキュリティ意識文化醸成のためにもKnowBe4をお客様にご紹介していきたいと思います。

尾﨑 多くの企業において実施されている年1回の訓練メールだけでは、セキュリティリテラシーの向上や定着は十分に進まないと考えています。例えば、訓練メールが配信された時、たまたまメールを開かなかった人が合格と判定されてしまいます。そのため全社のセキュリティレベルを可視化し継続的な訓練を実施することが重要と考えます。まずは現在の従業員が経営層や情報システム部門が考える“安全な人たち”なのかを見えるようにするところからスタートします。そして、従業員ごとの状況や理解度にあわせて研修や訓練などをカスタマイズし、継続的に取り組むことで改善を目指す、セキュリティ教育のあるべき流れをKnowBe4の提供を通じてトータルに支援していきたいと考えています。

薮内氏 コストがネックという企業は多いのですが、年1回の訓練メールでもコンテンツの用意などにかなりの手間がかかっているはずです。セキュリティ教育プラットフォームを導入すれば、これらの手間がなくなりますから、トータルで考えれば費用対効果が得られるはずです。特に、攻撃手法など最新の情報を取り入れたコンテンツ・テンプレートの作成はかなりの負担になりますから、我々のようなプロに任せるメリットは大きいでしょう。

広瀬氏 最初にもお話ししましたが、今、攻撃者の日本語対応レベルが急速に上がり、騙すためのテクニックが高度化しているため、今後、大きな被害が発生してくるでしょう。KnowBe4では、ソリューション提供だけでなく情報発信にも力を入れています。セキュリティに関する最新情報をブログなどで公表していますので、情報収集に役立てていただければと思います。

最新情報などをメールでお届けします。
メールマガジン登録

×