意識の向上が鍵を握る！セキュリティ教育の進め方とは

ラックは、一般的なセミナーに比べより実践的にセキュリティ対策を学ぶことができる教育サービスを、「ラックセキュリティアカデミー」として提供しています。今年2月には、ウェブサイトのサービスページをリニューアルオープン。オンライン研修では、新たにアニメーションを活用したコースも用意しています。

ラックがセキュリティ教育サービスを開始した経緯をはじめ、このようなセキュリティ教育がなぜ必要なのか、またどこまで実施する必要があるのかなどについて、セキュリティアカデミーのセンター長の白井 雄一郎に話を聞きました。

Q.ラックがセキュリティ教育サービスを始めたのはいつからでしょうか？

ラックがサイバーセキュリティ事業をスタートさせたのが1995年で、1997年頃に米国の診断ツールの使い方を教えるサービスを行いました。これが教育サービスの始まりです。当時はセキュリティ対策の必要性などほとんど認知されておらず、啓発しながらサービスを提供するような状況でした。

2000年頃には、国内の情報セキュリティの審査としてISMS認証^※取得を目指す企業が出てきましたが、そもそも何をやればよいのか担当者が理解していないことが多く、ラックに相談がきて支援しました。私自身、このような認証取得などのコンサルティングを手掛け、その後、教育サービスを担当してきた経緯があります。

このような認証ルールを社内に周知したいというニーズへの対応や、それまで個別対応していた講演や演習などを体系化し、2005年に「ラックセキュリティアカデミー」として改めて教育サービスを開始しました。

現場でセキュリティ対策を行っているエンジニアが実践的な教育を行う「スペシャリスト」向けが軸となり、そこに実際のセキュリティ事件・事故を踏まえた教育を行う「一般社員」向けへとサービスを広げています。

※ ISMS認証：財団法人・日本情報処理開発協会（JIPDEC）が定めた評価制度。当初は国内独自の認証制度だったが、2006年からISO/IEC27001による国際標準の認証に移行。

Q.企業は何かしらセキュリティ対策を行っていると思いますが、セキュリティ教育をする必要性はどこにありますか？

そもそも、サイバー攻撃によるリスクを「経営リスク」と捉えているかどうかがポイントとなります。そのうえで、セキュリティ教育を実施する狙いは大きく2つあります。ひとつは社内の「一般社員」に対する"意識の向上"、そしてもうひとつは「スペシャリスト」としての"スキルの向上"です。それぞれもう少し具体化すると、以下のとおりになります。

「セキュリティ対策」と「ITの利便性」はどうしても相反する部分が出てきます。そのため、個人情報や機密情報の漏えいといったリスクがありセキュリティ対策は重要だとわかっていても、実施するのは「面倒くさい」と思われがちで、優先度を下げてしまう人がいます。

サイバー攻撃の実行者は、企業が実施している対策をすり抜けて常に優位な状態で攻撃を仕掛けてきます。対策への意識が低ければ、攻撃者の標的となりかねませんので、実際に事件・事故が起きた際にどのようなリスクがあるのか、またそれをどうやったら防げるかを、一般社員やセキュリティ担当者向けに私たちが教育・訓練という形で支援しています。対策するシステムや制度も大事ですが、鍵となるのは何より運用する「人」です。それは今も昔も変わりはありません。

Q.一般社員とセキュリティ担当者のそれぞれに対し、どのようにセキュリティ教育をしていくのがベストなのでしょう？

例えば、ISMS認証などでセキュリティポリシーを策定・改定した後の一般社員向け講習会で、ポリシーの内容は企業の担当者が説明し、最近のサイバー攻撃で起きた事件・事故などについては、私たちが説明するようなご依頼も多くいただきます。

サイバー攻撃は、当初は愉快犯や技術をアピールするための犯罪が大半でしたが、最近はもっぱら金銭を目的にしています。攻撃者も、十数年前はITスキルを持つ技術者は限られており、企業側もセキュリティのスペシャリストが対応すれば事足りる状況でした。

しかしながら今では、高度なITスキルを持つ技術者が増え、誰でも攻撃者となるリスクを秘めています。その象徴的な事例として、メールを悪用した標的型攻撃では、セキュリティへの意識が低い社員が狙われるケースが多発し、現在でも多くの被害の元となっています。そのため、セキュリティ対策においては、一般社員の意識を高めていくことが極めて重要です。

ただ一般社員が皆、専門家となって対策をしていく必要はありません。サイバー攻撃が日々、巧妙化・悪質化していくなかで、CSIRT（シーサート）と呼ばれる企業の専門チームないし専任の担当者がしっかり対応していくことが重要です。

しかしながら確保できる人員に限りはあるでしょうし、インシデントの規模によっては企業内ですべてを対処しきれるものではありません。そのため必要に応じて、日頃数多くのインシデントを対処している私たちのようなセキュリティ会社に任せるのが効率的だと思います。とはいえ、企業内での対策をどうするかなど、セキュリティ会社側からの状況説明や提案に対して判断できる担当者は必要です。そのような観点で教育を進めていただけるとよいと思います。

Q.標的型メール訓練などで一般社員の理解も進んでいるように思います。今後、具体的に企業内でどのように教育を進めていくといいのでしょうか？

例えば最近では、IDやPWを乗っ取って、取引先など実際にメールをやり取りしている相手に成りすましてメールを送る「ビジネスメール詐欺」が多発するなど、その手口は年々巧妙化しています。ただ、攻撃の手口を知っていれば防げる場合も多く、さらに攻撃を受けたらどう対処するかを知っていれば、被害も大幅に抑制することができます。

一般社員向けには、最新のサイバー攻撃事情を踏まえたセキュリティ意識の向上を狙い、定期的に講習などを実施することをお勧めします。この時期ですと、社会人になりたての新入社員には、基礎的な知識を学んでいただくとよいと思います。一般社員のなかで興味を持った方は、もう一段踏み込んで、技術的な知識を得るような教育・訓練を受けてもよいでしょう。ラックでは段階的に学んでいただくカリキュラムも用意しています。

ただ、あくまで一般社員は、サイバー攻撃によってどのようなリスクを想定すべきなのかを認識してもらうことが第一です。必ずしも技術の深いところまで知る必要はありません。

そのうえで、組織的に対処できるように、実際にサイバー攻撃に対応できるスキルを持った担当者（スペシャリスト）を確保・育成していくとよいでしょう。しかしながら、企業では、実際のインシデントが起きない限り、実務的な経験を積むことはなかなかできません。また起きてから対策するのでは遅く、被害が拡大する恐れがあります。

そのため、実際に企業のインシデント対応を数多く経験してきた私たちのような専門家が行う、実際の事故を想定した演習で経験を積んでいただくことが、自社を守るうえで重要になると思います。実際、毎月のようにセキュリティ演習を行っているお客様もいらっしゃいます。

Q.最後に、セキュリティ教育への思いについて聞かせてください。

サイバー攻撃を仕掛ける攻撃者側が圧倒的に優位のなかで、企業は継続的にセキュリティ対策の底上げをしていかなければなりません。私たちがサイバーセキュリティ事業を始めた当初は、より安心で安全な社会になってほしいという強い思いから、社会貢献の位置づけでセキュリティ教育を提供してきました。

それも、机上ではなく本質的にサイバー攻撃から自社を守っていただきたいという一心からです。試行錯誤しながらメニュー構成をつくりあげてきましたが、より実践的な教育サービスを提供できるのは、当社の他あまりないと考えています。今後もサービスの枠に留まらず、社会貢献の観点で企業を守る一助になれればと考えています。

コーポレート・コミュニケーション室からのご案内

ラックが章監修したサイバーセキュリティ雑誌が3月23日に発売

サイバーセキュリティを基本から実践までわかりやすく解説する、日経ムック「サイバーセキュリティ入門」（3月23日発売）において、今回ラックが「Part.3 トピック別対策」を章監修をしています。また章監修とは別に、「ラックセキュリティアカデミー」を紹介した記事もあります。関心がありましたら、ぜひご一読ください！