企業に対するランサムウェア攻撃の数は、パンデミック中に大幅に増加しています。在宅勤務者が増え、組織がリモートワークに対応するためにインフラの更新を急ぐにつれて、セキュリティに不備が生じることがよくあります。企業はサイバー攻撃に対してより脆弱であり、KPMGによると、人々がリモートで働いている場合、ランサムウェア攻撃が成功する可能性が大幅に高まります。米国のコロニアルパイプラインカンパニーへの攻撃、コンピューターメーカーのエイサーに要求された5,000万ドルの身代金、およびその他の有名なランサムウェア攻撃は、企業が行動する必要があることを明らかにしました。ランサムウェア攻撃がリモートワークでより成功している理由の一部は、家庭のITシステムのセキュリティが弱いことですが、人間の脆弱性も大きな理由です。ランサムウェア攻撃者は、コロナ危機を取り巻く不安を利用して、無防備な従業員をだましてリンクをクリックさせ、有害なマルウェアに関与させています。ワクチン、マスク、手指消毒剤に関する情報を使用して、悪意のある行為者は従業員を誘惑して、望む行動を取らせることができます。このような攻撃から身を守る最善の方法は、従業員を教育し、権限を与えることです。そのため、企業は従業員向けのサイバーセキュリティ意識向上トレーニングに投資する必要があります。
参照: 増加する攻撃に対処するため「ランサムウェア対策チーム」が結成
サイバーセキュリティ意識の必要性
組織のサイバーセキュリティには、テクノロジ、プロトコル/ポリシー、人材という 3 つの主要な要素があります。脅威が進化するにつれて、セキュリティ テクノロジも進化します。適切なポリシーとセキュリティ プロトコルを導入することで、組織はサイバー攻撃を防ぎ、侵入が成功した場合の被害を最小限に抑えることができます。サイバーセキュリティの人材要素はおそらく最も重要であり、皮肉なことに最も無視されることが多いものです。組織で働く人々が適切なトレーニングを受けておらず、サイバーセキュリティのリスクを認識していない場合、最高のセキュリティ テクノロジとポリシーも機能しません。要塞には、頑丈な門やワニでいっぱいの堀などの最高の防御があるかもしれませんが、警備にあたる兵士が知らないうちに跳ね橋を下ろして攻撃者を中に入れてしまったら役に立ちません。人間の行動を理解することは、認識の必要性を理解するために不可欠です。人間は怠慢で不注意になることがあります。攻撃がどのようなものになるかがわからず、脅威の状況に関する情報を持っていないと、特に脆弱になります。そのため、組織は従業員が企業のセキュリティにどのような影響を与えるか、またどのようなリスクを警戒する必要があるかに重点を置いた、従業員向けのサイバー セキュリティ意識向上トレーニングを実施する必要があります。
セキュリティ意識向上トレーニングのベストプラクティス
1. 少しずつ学習を続ける
研修プログラムを設計するときは、トピックをいくつかのチャンクに分割します。各チャンク内に、消費しやすい一口サイズのコンテンツを作成します。これにより、研修がより効果的になります。情報を小さな部分に分割することで、従業員が圧倒されることがなくなります。研究によると、1 時間後には、人々は提示された情報の半分しか覚えていないことがわかっています [1]。研修を強化することで、記憶力と想起力を高めることができます。一口サイズの情報は、従業員が多くの時間を費やすことなく、何度も消費できます。フィッシング メールを例にとると、コンセプトと潜在的な危険性を説明する簡単なビデオをすべての従業員と共有することから研修を開始できます。しばらくしてから、偽のフィッシング メールを従業員に送信し、リンクをクリックするという間違いを犯す人を確認します。必要な人に詳細な研修を提供して、それを繰り返します。このようにして、従業員に必要な量の研修のみを提供します。従業員がビデオで共有された情報を保持し、フィッシングメールに騙されない場合は、その従業員が詳細なトレーニングにさらに時間を費やす必要はありません。
2. 最大のリスクには最大の報酬が伴う
サイバーセキュリティに対する最大のリスクに焦点を当てます。世の中にはさまざまなマルウェア、ランサムウェア、脅威が存在します。あなたのビジネスが最も脆弱なのはどれでしょうか? 最も大きな影響を与えるものは何でしょうか? サイバーセキュリティに対して最も大きなリスクをもたらす従業員は誰でしょうか? これらの質問に答えることで、最高の ROI を実現するトレーニング プログラムを作成できます。組織全体のトレーニングでは、会社の目標とビジョンを従業員と共有し、計画された行動を奨励することに重点を置く必要があります。全員がすべてのトレーニングを受ける必要はないということを覚えておいてください。
3. 繰り返しにならない
従業員にとって、すでに知っていることの研修に何度も参加することほど、ストレスがたまり、イライラさせられることはありません。多くの場合、組織は記憶力の低下や想起を心配して、研修を繰り返します。この問題に対処する良い方法は、従業員の知識をテストすることです。テストで良い点数を取った従業員は、研修プログラムをもう一度受講する必要はありません。複雑な研修プログラムや長い研修プログラムの場合は、セクション分けした評価を実施することができ、従業員は、成績が悪かったプログラムの部分のみに参加すれば済みます。これは、研修プログラムの効率と効果を高める良い方法です。また、テストは従業員間の社内競争意識を生み、学習内容を記憶してプログラムを繰り返さなくても済むようにする動機付けにもなります。
4. パスワードの保存
顧客データ、従業員データ、プロジェクトの詳細はすべて、組織が成功するためには保護する必要がある機密情報です。この点で、強力で安全なパスワードの使用は不可欠です。優れたパスワードは、デバイスや情報への不正アクセスを防ぎます。セキュリティ意識向上トレーニングに関しては、従業員が使用しているツールやプラットフォームの指示に従って強力なパスワードを作成していると想定しているため、組織がパスワードの衛生管理を無視することがありますが、必ずしもそうである必要はありません。従業員にパスワードの衛生管理についてトレーニングすることが重要です。従業員がパスワードを書き留めて、その情報を放置してしまうというミスを犯すことがあります。または、デスクトップ上の安全でないファイルにすべてのパスワードを保存している可能性があります。これらは、ハッカーがシステムにアクセスするために利用できる見落としです。
5. 継続的なトレーニングが不可欠
サイバーセキュリティの脅威の状況は絶えず変化しているため、セキュリティ意識向上トレーニングも継続的に行う必要があります。新しい脅威や攻撃が特定されたら、従業員はこれらの脅威を特定して防御する方法をトレーニングする必要があります。組織は定期的に従業員をテストして、従業員がどの程度の情報を知っているか、再トレーニング プログラムを実施する必要があるかどうかを確認する必要があります。多くの従業員が在宅勤務をしているため、企業は既存のプログラムを更新して、従業員にオンライン セキュリティ意識向上トレーニングを提供できるようにする必要があります。可能であれば、教育設計者と協力して、包括的でありながら簡潔なプログラムを作成してください。
サイバーセキュリティとトレーニングの現状
サイバーセキュリティ侵害の95%は人為的ミスが原因です[2]。最も一般的なフィッシング攻撃に対する最善の防御策は、人間の知性と理解力です。2021年もリモートワーカーはハッカーの標的となり続け、リモートワークの増加はクラウド侵害の可能性を高めます。最近、中小企業に対するサイバー攻撃の数が増加しています。これはもはや大規模な組織だけが心配する必要がある問題ではありません。攻撃が成功した場合のコストは、サイバーセキュリティに投資していない企業にとって壊滅的なものになる可能性があります。従業員の45%は、雇用主からサイバーセキュリティのトレーニングを受けていません[3]。これは大きな見落としです。なぜなら、成功したランサムウェア攻撃のほとんどは、従業員の意識を高めることで回避できるフィッシング詐欺の結果だからです。
多くの幹部は、企業にポリシーがないため、セキュリティ インシデントが発生した場合に何をすべきかわかりません。企業がこれらのポリシーを作成し、すべての従業員に伝えることは必須です。ポリシーは、従業員ハンドブック、会社の社内コミュニケーション ツールなど、複数のチャネルで参照できるようにしておく必要があります。ポリシーは、セキュリティに必要な基本的な衛生状態を従業員に知らせる優れた方法です。たとえば、不明な ID から送信されたリンクを開いてはいけないこと、報告マネージャーからの異常な要求はすべて IT チームに報告する必要があることを従業員に知らせるために使用できます。ハッカーが企業のシステムにアクセスした場合、迅速な対応が不可欠です。従業員を教育することで、セキュリティ攻撃を防止できる可能性が高まり、最悪の場合でも、セキュリティ チームに速やかに報告されて必要な対策を講じることができます。
従業員向けのサイバー セキュリティ トレーニングを設計する際は、意識を高めるだけでなく、従業員が学んだことを実践することも重要です。したがって、プログラムにはテストと実践的な要素も含める必要があります。プログラムを魅力的なものにし、テストで良い成績を収めた従業員に報酬を与えます。目標は、従業員がトレーニングを義務または面倒なことと考えるのをやめることです。セキュリティは組織の文化の一部であるべきであり、すべての従業員は脅威から保護するために自分が果たす役割を理解する必要があります。人間の知性は、サイバー攻撃に対する企業の最善の防御策です。
テクノロジの世界からの質の高いホワイト ペーパー、電子書籍、ニュース報道を入手するには、whitepapers.online を購読してください。
注目の画像: rawpixel.com が作成した背景写真 - www.freepik.com
出典:
1. 2017 年 6 月、M. Bingham、「忘れたい学習定着率に関する 10 の統計」、Bridge、[オンラインで入手可能]https://www.getbridge.com/en_gb/blog/10-stats-about-learning-retention-youll-want-forget/から入手可能 [2021 年 5 月アクセス]
2. 2020 年 12 月、D. Milkovich、「15 の驚くべきサイバー セキュリティの事実と統計」、Cybint、[オンラインで入手可能] https://www.cybintsolutions.com/cyber-security-facts-stats/から入手可能 [2021 年 5 月アクセス]
3. 2018 年 5 月、M. Williams、「インフォグラフィック: トレーニングが優れたデータ保護とサイバーセキュリティの鍵となる理由を示す 10 の統計」、Pensar、[オンラインで入手可能] から入手可能: https://www.pensar.co.uk/blog/cybersecurity-infographic [2021 年 5 月アクセス]