「セキュリティアウェアネス」―全社的な意識向上で重大インシデントに立ち向かう
サイバー攻撃のきっかけは、システムなどにある脆弱性です。しかし、サイバー攻撃の事例を分析すると、被害が拡大する要因に組織体制や対応プロセスに課題を抱えているケースが目立ちます。これは被害に遭った企業が抱えていたセキュリティの専門人材の不足、属人化した管理体制、事後対応の遅れといった潜在的なリスクが浮き彫りになったといえるでしょう。この記事では、サイバーセキュリティにおける組織の課題を解決するための、全社的なセキュリティ意識向上について解説します。
目次
1.セキュリティインシデントの組織的課題──「技術対策だけでは防げない」リスク
サイバー攻撃が高度化していくなかで、技術的なセキュリティ対策だけでは限界があります。そして、実際のセキュリティインシデントを分析すると、技術的な課題だけではなく、組織体制の課題が見えてきます。どのような課題があるのか見ていきましょう。
1-1.「一人抜けたら終わり」のリスク
企業によってはセキュリティに詳しい従業員が、一人で全社のセキュリティに関する重要な判断や対応を担っていることがあります。そのセキュリティ担当者に任せておけば、企業のセキュリティが安全に保たれる、非常に心強い存在です。問題はその従業員が退職したり、異動したりして、セキュリティに詳しい人物が不在になってしまったときです。実際に担当者が抜けてセキュリティ管理が放置され、攻撃を受けた企業もあります。
セキュリティに精通した従業員がいなくなれば最新のサイバー攻撃に対応できず、システムの脆弱性が放置され深刻なインシデントが発生する危険性が高まるでしょう。企業の存続を揺るがすような危険な状態が続くことになります。このように、セキュリティの属人化は非常にリスクの高い状態といえるでしょう。
ところが、中堅・中小企業では一人の従業員にセキュリティの業務を任せきりにする、不安定な状態がそのままになってしまうことがあります。今は問題がないかもしれませんが、リスクの高い状態であることを理解しておきましょう。
1-2.組織文化が生む対応遅延──「気づいているけれど言えない」雰囲気
企業のセキュリティに関する業務は、大企業であればセキュリティ部門、中堅・中小企業であれば情報システム部門や総務部門において対応しているという状況だと思います。しかし、企業が抱えているセキュリティの課題について、これらのセキュリティ部門がすべて把握することはできません。情報システムを主管していない部門であっても、現場の従業員による操作、情報の取り扱いにより、大きなリスクが生じていることもあります。しかし、現場の従業員が何となくそのリスクに気づいていても、セキュリティを担当する部門へ、課題解決に向けた提案や依頼ができない組織文化が存在していることがあります。
例えば、「自分の担当部署ではない」「報告すると面倒なことになる」「自分の間違いかもしれない」といった心理的な抵抗感があり、「もう少し様子を見よう」と提案や依頼が先延ばしにされてしまうのです。しかし、そうしている間にサイバー攻撃によるPCのマルウェア感染等、大規模な被害へ発展してしまうことがあります。さらに、部署間の縦割り意識、経営層へネガティブな報告を躊躇する文化などによって、初動対応に遅れが生じるのです。報告や相談のしやすい組織文化の醸成も、セキュリティの強化には必要です。
1-3.「整備しただけの規程」のリスク
企業のセキュリティを健全に保つには、セキュリティポリシーの策定、セキュリティ維持のための規程などの整備が欠かせません。しかし、実務の現場ではセキュリティへの理解不足から、それらの規程が実践されていないことがあります。紙の書類やPDFなどで規程や手順書を用意しておいたとしても、従業員はその存在すら知らなかったり、セキュリティ研修で一度聞かされただけですっかり忘れてしまったりします。
こういった規程の形骸化やセキュリティに関するルール遵守が徹底されていない状況は、サイバー攻撃者にとって都合が良く、狙われる要因となります。しかも、規程が形骸化してしまっている状態ではインシデント発生時に適切な対応ができず、被害が拡大してしまうおそれもあります。企業のセキュリティ強化にはセキュリティに関する規程の整備が欠かせませんが、それが正しく浸透し、機能していなければ意味がありません。組織のセキュリティ意識を向上させるための取り組みが必要です。
2.組織防御の新常識──「セキュリティアウェアネス」という考え方
サイバー攻撃の巧妙化により、専門のセキュリティ知識を持った人材でなければ対処が困難になってきています。しかし、それだけでは万全の体制を築けないという側面もあります。組織全体でセキュリティに取り組むには、セキュリティアウェアネスという考え方が必要です。
では、セキュリティアウェアネスとは、どういったものなのかを見ていきましょう。
2-1.従来型セキュリティの限界
一人しかいないセキュリティ担当者がいなくなったら、企業のセキュリティを保てないなどの組織的な課題は、最新のセキュリティツールを導入したとしても解決はできません。また、インシデントが発生した際に、組織文化の問題や規程の形骸化などの課題が放置されていると、報告や連携が遅れ、適切な対応ができずにサイバー攻撃の被害が拡大し、企業の信頼を失うことになります。セキュリティ部門の役割は重要ですが、過度に依存した組織体制には高いリスクがあるのです。
このような事態を防ぐには、セキュリティ部門だけでなく、情報資産を取り扱う全ての部門、従業員のセキュリティ意識向上が不可欠です。
2-2.セキュリティアウェアネスとは何か
セキュリティを確保するには、特定の部門や担当者にだけ依存するのではなく、情報資産を取り扱う全ての部門、従業員のセキュリティアウェアネスを高めることが大切です。
セキュリティアウェアネスとは、セキュリティに対する意識を指しており、なぜセキュリティが必要なのか、どのようなセキュリティ対策を行えば良いのかを、それぞれの従業員が意識することを意味します。セキュリティ部門だけでなく、それぞれの従業員がセキュリティアウェアネスを高く持つことで、日常業務におけるリスクに気づき、課題解決に向けた提案や依頼、インシデントの速やかな報告・連携が行われるようになっていきます。
2-3.組織の階層別アウェアネスの実現
効果的なセキュリティアウェアネスの向上には、まず、組織階層に応じた役割と責任の明確化が必要になります。たとえば、経営陣であれば大きなリスクの認識と対策に関する経営資源配分の判断、管理職であれば管掌部門におけるリスクの可視化や対策の実行、必要な報告事項などを定めることになるでしょう。現場の従業員なら、日常業務における対策すべき遵守事項や、異常の察知・報告など役割の明確化が重要です。
その上で、共通事項であれば全社教育を開催し、役割に応じた事項であれば階層別の教育機会を提供することで、学習の目的意識が明確となり、セキュリティアウェアネスやスキルの向上が促進されます。各階層の業務特性に応じてカスタマイズされた、セキュリティ研修、それを踏まえたサイバー演習などのアプローチが効果的です。
2-4.全社的なセキュリティ文化の醸成
セキュリティアウェアネスの向上には、各従業員のスキルを磨くだけでなく、組織全体でセキュリティを重視する文化を育むことが求められます。もし組織において「セキュリティ対応は面倒だ」という空気が強いなら、それを「セキュリティは事業を支える基盤である」という共通認識へと転換する必要があります。
そのためには、「気づいているけれど言えない」といった従来の風土を改め、失敗を責めるのではなく改善の機会と捉える前向きな文化をつくることが大切です。報告や相談を歓迎し、部署を超えた協力を促す環境を整えることで、全社的にセキュリティの重要性を共有できます。これにより、組織全体が一体となってセキュリティに取り組むための基盤が築かれるのです。
3.実効性あるセキュリティアウェアネス向上──計画から効果測定まで
組織全体のセキュリティアウェアネスを高めるには、一般的、各委員会な研修を行うのではなく、自社の現状を把握し、課題を解決する視点が欠かせません。まず把握されている状況の課題を整理し、その解決手段の1つとして教育計画を立て、研修だけでなく訓練・演習なども組み合わせ、効果を検証して改善へとつなげます。もし、セキュリティに関する自社の課題が把握できていないのであれば、アセスメントから着手すべきでしょう。こうした一連のサイクルが、実効性のある取り組みを支えます。
3-1.現状の課題整理──組織の「今」を知ることから始める
最初のステップは、自社における現状の課題を整理することです。多くの企業では「何となく不安はある」と認識していても、どの部門で知識が不足しているのか、どこにエスカレーション体制の穴があるのかまでは把握できていません。漠然とした不安を放置せず、具体的な課題へと整理する必要があります。
そこで、各部署を巻き込んで、技術的な脆弱性だけでなく、従業員のリテラシーレベルや組織文化、コミュニケーションの課題なども洗い出し、整理ます。このような整理を通じて、報告しにくい雰囲気や部署間の連携不足、セキュリティ業務の属人化といった根本的な原因が浮き彫りになり、効果的な課題解決につながるでしょう。
GSXでは「インシデント対応訓練サービス」を提供しており、実際のインシデント発生時を想定した演習により、対応時に必要なマニュアルやフローが整備されているか、などを含め、組織がインシデントに適切に対応できるかどうかを具体的なシナリオにより検証します。その結果、どこに課題があるのか各部門の関係者が参加して洗い出し、解決に向けて整理することが可能です。
こういったサービスを必要に応じて活用し、課題を整理することが、セキュリティアウェアネス向上には非常に重要です。
3-2.戦略的な教育計画の策定──課題に応じた目標設定と継続的アプローチ
課題を整理したら、解決手段の1つとして教育計画を立てます。ここで重要なのは「セキュリティ意識を高める」といった抽象的な方針だけではなく、階層や教育手段別に目的・狙いを具体化し、測定可能な目標を設定することです。たとえば「セキュリティ理解度テストで合格率を○%に引き上げる」や「擬似的な攻撃メール訓練で開封率を●%以下に抑える」などといった具体的な目標が有効です。
また、一度の教育ではなく、継続的な改善を前提に計画を立て、目標に反映することが肝要です。必要に応じて、外部コンサルタントの客観的な視点を取り入れるのも効果的です。
GSXでは、従業員のセキュリティアウェアネス向上に向けたサービスとして「Mina Secure」や社会人が知っておくべき基礎的なセキュリティ知識を学習する「セキュリティパスポート」を提供しています。MinaSecureはe-Learninによる座学による教育プログラムで、習熟度を点数として把握することができます。
また、経営層や経営層に近い管理職に向けて「CISO講座」も提供しています。
CISO講座では、主にCISOおよび経営幹部が把握しておくべき企業のセキュリティ管理のポイントを学ぶことができる講座です。
3-3.多角的な教育・訓練手法の活用──知識から行動変容への転換
知識を伝える座学研修だけでは、実際の行動に結びつかないことがあります。そのため教育では複数の手法を組み合わせ、行動変容を促す工夫が求められます。
例えば、研修のあとに標的型メールを使った模擬訓練を実施し、単に開封率を見るだけでなく、受信後にエスカレーションできたかどうかを確認します。これにより「疑わしいメールを受け取ったときに組織として動けるか」を確かめられるのです。さらに、リスクシナリオに基づいたサイバー演習や、想定外事態を扱う机上演習を取り入れることで、従業員の応用力と即応力を磨くことができます。
例えば、GSXでは「トラップメール(標的型攻撃メール訓練)」を提供しています。
これは、擬似的な攻撃メールを従業員に送りその対応を評価するもので、座学とは違う訓練形式の教育プログラムになっています。
また、現状把握でも紹介した「インシデント対応訓練サービス」は、課題の洗い出しだけでなく習熟度を測ることも可能です。
いずれも、訓練サービスであり、座学とは違った効果を得ることができます。
3-4.効果測定と継続的改善──PDCAサイクルによる組織力向上
セキュリティアウェアネス向上の教育は、実施して終わりにするのではなく、継続していくことが大切です。教育を実施したことによって課題がより明確になり、改善するべき指標の設定が可能になります。そのあとは、取り組みの効果を定量的・定性的に評価し、改善を繰り返します。
効果測定では、従業員のリテラシーの変化、報告までのスピード、部署間連携の改善などを指標にします。これらの結果をもとに教育内容や訓練手法を見直し、改善を繰り返していくことで、組織全体のアウェアネスが段階的に高まります。サイクルを継続することで、単なる知識習得にとどまらず、組織文化そのものを変える力につながるのです。
ここまで紹介してきたGSXの各種教育サービスも、実際に定期的に実施いただく企業様が多くいらっしゃいます。
4.GSXが支援するセキュリティアウェアネス向上プログラム
GSXでは、企業のセキュリティアウェアネス向上を支援する情報セキュリティ教育プログラムを年間パッケージで提供しています。課題の抽出から継続的な改善までを一貫してサポートできる点が大きな特長です。
まず、専門コンサルタントが貴社の課題を確認し、効果的な教育計画をご提案します。教育や訓練で解決されない課題や、教育や訓練の結果見えた課題については、残課題として切り分け、必要に応じて追加支援を提案します。
さらに、一般従業員向けの集合研修、サイバー演習、標的型メール訓練など、多様なプログラムを用意しています。こうした取り組みを重ねることで、組織はセキュリティ課題の発見から改善までを継続的に進めるPDCAサイクルを確立できます。
取り組みは一度きりではなく、年次・半期・四半期といった組織のニーズに合わせた定期的なサイクルで継続することが効果的です。自社に最適な間隔で実施することで、セキュリティアウェアネスは文化として根づいていきます。
セキュリティの属人化や形骸化した規程など、思い当たる課題があれば、ぜひGSXにご相談ください。
まとめ:セキュリティをみんなで守る組織に
サイバーセキュリティというと、技術面に目が向きがちです。しかし実際には、組織や人の問題が被害拡大の大きな要因となっています。特に、重要な管理を一人に任せている体制や、部門を超えた情報共有・連携がためらわれ、リスクの兆候が適切に伝わらない状況は深刻なリスクです。
だからこそ、企業が本当に強いセキュリティを築くには、技術対策とあわせて組織体制の改善、そしてセキュリティアウェアネスの向上が欠かせません。セキュリティを「自分ごと」と捉える意識を全員が持ち、部門を超えて相談や報告をし合える文化を定着させれば、初動の遅れや被害拡大を防ぐことができます。
今、必要とされているのは、一部の担当者に依存する体制から脱却し、社員一人ひとりが守り手となる組織への変革です。GSXは、そのような文化と体制を育み、セキュリティを組織全体に根づかせるための支援を行っています。
関連情報
計画的なサイバーセキュリティへの取り組み方と適切な予算の確保
ランサムウェアによる企業への身代金要求など、サイバー攻撃による被害の報告が相次いでいます。企業にとってサイバーセキュリティへの取り組みは、ますます重要な課題となっています。ただし、セキュリティの脆弱な部分を特定して対策を立て、適切なセキュリティ予算を確保することは簡単ではありません。サイバーセキュリティは直接的な利益を生み出しませんが、IT活用のリターンとのバランスで対策投資を考えることが重要です。本記事では、将来を見据えたサイバーセキュリティ対策の計画方法や、そのための予算確保における重要なポイントについて解説します。
企業のサイバーセキュリティ対策は急務!:実現可能な管理のステップとは?
DX推進やリモートワークの普及など企業のIT環境が大きく変化することで、セキュリティの脆弱性が生じます。例えば、コロナ禍によりあわてて設置したVPN装置の不適切な管理により、放置されている脆弱性を悪用して侵入され、ランサムウェア被害に及んだ、等のサイバーセキュリティインシデント事例が相次いでいます。企業にとってサイバーセキュリティ対策は急務ですが、明確な指針がない、人的リソースが足りないなどの理由で、どこから手をつけたらよいのか、どのように進めればよいのかがわからないというIT担当者、セキュリティ担当者は少なくありません。そこで、多くの中堅企業において実現可能なサイバーセキュリティ管理に着手・継続するためのステップを解説し、それぞれのステップにおけるGSXのサポートについても紹介します。
ランサムウェアインシデントの教訓―最新事例から学ぶ効果的なセキュリティ対策とは
世界中の企業がランサムウェアによるサイバー攻撃を受けています。攻撃者は企業の脆弱性を悪用して侵入、ランサムウェアでシステムの情報を暗号化し、身代金を要求します。要求を断ればシステムを復旧できないだけでなく、盗んだ情報を公開すると更なる脅迫を行うこともあります。ランサムウェアの脅威は、日本も例外ではありません。2024年には出版・インターネットコンテンツサービスを提供する大手企業が被害にあい、大きなニュースになりました。それ以前にも、名古屋港、トヨタ自動車の関連会社などにおいて深刻な被害の発生が近年相次いでいます。これらの事例を紹介しつつ、どのように対策・対応すべきかを考えていきましょう。
セミナー・イベント
【GSX主催ウェビナー】
中小企業向けISO/IEC 27001:2022(ISMS)取得のポイント~取得時に最も工数がかかる”セキュリティ文書作成”を支援するGSX最新版オリジナル文書テンプレートのご紹介~
開催日時:2024年2月16日(金)11時00分~11時50分
【GSX主催ウェビナー】
工場セキュリティの確保は経営課題!抑えておくべきポイントとは?~製品のライフサイクルにおけるセキュリティを考えていくための視点~
開催日時:2024年2月2日(金)11時00分~11時50分
【網屋/GSX共催ウェビナー】