オンライン上のリスクは、企業にとってますます深刻になっています。過去2年間で、77%の企業が少なくとも1件のサイバーインシデントの被害を受けています。そのため、企業がこうしたリスクを緩和する対策を実施したいと考えるのは理解できます。そこで有効なのが、従業員向けのサイバーセキュリティ意識向上トレーニングです。たとえば、様々な規模の企業が経験した脅威に関するKasperskyのリサーチによると、企業が経験した最大の脅威は、従業員による不適切なITリソースの使用とITセキュリティ違反の2つで、インシデント1件あたりの平均コストは33万7561ドルでした。さらに、企業で発生したサイバーインシデントの38%は純粋なヒューマンエラーによるもので、26%は情報セキュリティポリシー違反によるものでした。
セキュリティ意識向上トレーニングは、データの効果的な保護、人為的なインシデントの発生件数の低減、インシデントレスポンスのコストの削減を実現させたい会社や組織にとって不可欠なツールです。また、顧客データの取り扱いに対する責任、オンラインの安全な利用方法を従業員に理解させる場合にも役に立ちます。Kasperskyの2022年度のレポートによると、従業員がセキュリティインシデントの発生時に解決策を理解し、意識していれば、攻撃者が企業のインフラに侵入する可能性は低くなります。ITとセキュリティのエキスパートが開発するこれらのプログラムには、共通した目標があります。データ流出や情報の盗難、さらには企業の財政上の損失や風評被害を招来しかねないヒューマンエラーが発生しないようにすることです。しかし、これらのトレーニングプログラムには何が必要でしょうか?また、企業はどのようにして、サイバーセキュリティを従業員の最優先事項とすることができるのでしょうか?これらの疑問に対する答えを、これから説明します。
セキュリティ意識向上トレーニングは、多様な形式で実施可能な教育プログラムです。しかし、どのプログラムでも最終的な目標は同じです:従業員がハッキングやフィッシングなどのデータ流出から企業のデータや機密情報を守るために必要な知識とスキルを習得することにより、企業のITインフラを保護するということです。サイバー意識向上トレーニングには数多くの分野があり、良質のプログラムであれば、従業員がデータやオンライン活動を安全に管理するための総合的なスキルを身につけることができます。
法律により、一部の企業は特定の業界規制への準拠が義務付けられています。
例:一般データ保護規則(GDPR)や、医療保険の相互運用性と説明責任に関する法律(HIPAA)など。これらの事例の一環として、従業員向けのサイバーセキュリティ研修を実施する必要があります。研修は、絶えず進化するサイバーセキュリティの問題の最新の状況を従業員が把握し適切な対処ができるようにするために、通常は年に1、2回実施されます。
サイバーセキュリティ侵害の多くは、ヒューマンエラーやソーシャルエンジニアリングが原因で発生します。そのため、企業は従業員が攻撃や侵害に対していかに脆弱であるかを認識し、これらの脅威へに可能な限りの対抗措置を講じる必要があります。そのため、従業員に対するセキュリティ意識向上トレーニングが重要なのです。サイバー意識向上トレーニングを効果的に実施すると、会社に対するサイバーセキュリティの脅威や想定可能な脆弱性にはどんなものがあるかについて従業員を教育することができます。また、危険な活動の兆候を認識して侵害や攻撃を回避するための習慣や、対処を誤ったり疑問が生じたりした場合にすべきことも理解できるようになります。加えて、多くの企業はコンプライアンス規制を満たすためにサイバーセキュリティトレーニングを実施する必要があります。
セキュリティ意識向上プログラムを成功させることで、従業員は会社におけるサイバーセキュリティの責任を理解するようになります。これにより、オフィス勤務でもリモート勤務でも、オンライン中や会社のデバイスの使用中に会社のデータを注意深く取り扱うようになることが期待されます。その結果、サイバー攻撃やデータ流出に対する企業の脆弱性を大幅に緩和できます。
Kasperskyの2023年度ヒューマンファクター調査では、職場で発生したセキュリティインシデントの原因となったヒューマンエラーを分析しました。その結果によると、従業員による原因で最も多かったのはマルウェアのダウンロードで、二番目に多かったのは脆弱なパスワードの設定、およびパスワードを定期的に変更しなかったことでした。このことは、品質が高く総合的なセキュリティ意識向上プログラムの必要性を浮き彫りにしています。多様な要素を網羅したプログラムの実施により、サイバーセキュリティの全体像とそれが企業に対してどんな意味を持つのかということを、従業員に理解させる必要があります。たとえば、パスワードの健全性と安全性を維持する習慣を身につけたり、ソーシャルエンジニアリング詐欺の手口を理解したり、メールを安全に使用する習慣を身につけたり、法的規制を遵守したりすることなどが、トレーニングの目標として挙げられます。
対象となるセキュリティ関連の課題は多岐にわたりますが、各企業のニーズによって、プログラムの内容は若干異なります。しかし、サイバーセキュリティの脅威と保護の多くの要素は、すべての組織に関係しています。その概略は次の通りです:
サイバーセキュリティ意識向上プログラムの品質を向上させるには、上記の課題をすべて網羅することが必要です。しかしそれだけでなく、様々な形式をトレーニングに採用することで、受講者が興味深く取り組めるものにするとともに、学習したことを忘れないようにするテクニックも使用する必要があります。さらに、優れたトレーニングプログラムには、実際の事例を多く採用して、従業員が現実とのつながりを実感できるようにすることも必要です。充実したトレーニングでは、何が許され、何が許されないかという質問に答えるだけでなく、「もしも」のシナリオや、サイバーセキュリティ製品が脅威を検知できず、攻撃が発生した場合の解決策の提示も期待されます。シミュレーションやゲーミフィケーションの要素によるスキルの強化も、非常に大切です。
セキュリティに関する意識を包括的に理解することは重要ですが、正しい戦略の実装も同様に不可欠です。では、企業は従業員向けのサイバーセキュリティ意識向上トレーニングを通じて、どのような戦略を立案すればよいのでしょうか?プログラムが成功する確率を高めるために、企業が講じることができる対策は数多くあります。ここでは、覚えておくべきベストプラクティスをいくつか挙げます:
Kasperskyの2023年度のHuman Factor 360レポートでは、調査回答者に「今後12~18か月にサイバーセキュリティへの投資を行う可能性が最も高い分野」を質問しました。 その結果、回答者の39%がサイバーセキュリティ担当者向けのトレーニングへの投資に関心を持っていることが明らかになりました、また、38%は従業員向けの一般的なトレーニングなどに投資するようです。したがって、従業員のサイバーリテラシーを高め、投資することが、企業の総合的な保護に必要な対策であることを理解することが極めて重要です。それだけではなく、必要な課題をすべて網羅し、サイバー空間における行動が実際に変化するような影響を与える最新の教育アプローチを備えた、適切な教育プログラムを選択することも非常に大切です。企業の管理職のサポートとともに、組織のすべての階層、さらには経営陣も巻き込むことが、サイバーセキュリティが確保された環境の導入と維持の成功につながります。
関連記事やリンク
ソーシャルエンジニアリングとは?ソーシャルエンジニアリング攻撃を回避する方法
関連製品とサービス
Kaspersky Security Awarenessトレーニング