1. サイバー攻撃の脅威の備えとして重要なセキュリティ対策トレーニング
今年は、三大流星群の1つであるペルセウス座流星群の流れ星が最も多く現れる。流星群は、放射点がペルセウス座の肩のあたりにあり、母天体となる彗星はスイフト・タットル彗星のことで、8月12日午後11時頃に極大を迎え、流れ星は11日の夜から13日の夜までの3日間に集中するらしい。かなり暗い場所で観察すると1時間あたり40個以上の流星が見え、うまくいけば、願い事が40回聞いてもらえる計算だ(笑)。
個人的な話だが、今から38年前(1986年2月)26歳の時、南半球のオーストラリアでハレー彗星を見るため「地球の歩き方」の本を片手にバックパックひとつで旅行したことを思い出す。ゴールドコースト海岸で見た夜空は、星が宝石のように見えた。大群の中に明るい星をつなげていくと星座になる。神秘的だ。南十字星を探し、ハレー彗星もしっかり見ることができた。当時は、まだデジタルカメラがない時代で、数枚の写真しか残っていないが、思い出は頭の中の記憶に残っている。
さて、今回のコラムでは、社員のセキュリティ対策トレーニングが必要となる理由や、その重要性、メリット、注意点などについて取り上げたい。このトレーニングを定期的に実施することで、サイバー攻撃の脅威に対して備えたい。
2. 社内ネットワークが“大火事”になるのを防ぐには“初期消火”が重要
前職(NHK)の時、社員からの連絡で「PCの動きが突然遅くなりマウスが動かなくなった。画面には見たこともない英文字がたくさん出ている。パソコンが壊れたか?」などの一報が入ると “ドキッ” としたものだ。ウイルスに感染した恐れがあるため相手に対して、「直前にどんな操作をしたか?」を尋ねても、社員からは「何もしていない」「突然、勝手に変な画面が出てきた」などと回答される。間違いなくウイルスに感染したと思えるため電源を切らず、イントラネットから切り離しを行ってもらい、ウイルススキャンをお願いする。
大切なことは、社員の記憶が新しいうちに、ヒアリングを行っておくことだ。当時、情シス側としては質問用のテンプレートを作っておいた。中身は5W1Hについて、いつ(When)、どこで(Where)、誰が(Who)、何を(What)、なぜ(Why)、どのように(How)である。この様式に当てはめれば、共通の回答を引き出せるので参考にしてほしい。
社員からの回答の一例を挙げると、「今日の午前11時ごろ、自分の席でインターネットを使って色んなサイトを検索し見ていたら、広告が出て、もしかしたら実行したかもしれない。そのあとにしばらくすると勝手に画面が変わり現在の状態になり、電話した。」ということであった。
ネットワーク上に侵入したマルウェアを検知して自動でネットワークを遮断する環境が整備されていても、未知のマルウェアが侵入した場合、検知ができないケースも考えられるので、社員による通報も合わせた体制が重要になってくる。
情シスとしては、感染したパソコンの回収と、周囲に感染が拡散していないかの調査をしなければならない。社内ネットワークが“大火事”になる前に、“初期消火”の段階で被害箇所を特定し、対応することが鍵になる。つまり、社員が“初期消火”に参加することが大切だ。
社員側の立場で考えてみると、突然PCが感染し使用できなくなるため、その後の仕事に影響を及ぼすと考えるだろう。そのため、しばらく放置して様子を見てみたり、何回か再起動を試みてみたり、自分なりの復旧を行ったりする社員がいるのもわかる。社内規則では対応方法について回覧はしているものの、いざ自分のこととなるとなかなか実行に移せないものだ。
これを改善するためには、一度でいいので社員が対応トレーニング(訓練)をすることである。初期消火とは、社員が自らする行動であり、会社を守る対策には欠かせない役割になる。例えば、家庭に置いてある消火器の役目は知っているが、一度も使ったことがない人が大半だろう。一方、消火訓練などで使ってみた人は、躊躇なく使える話を聞く。
3. セキュリティ多層防御は、最初の入口である社員から始まる
多層防御は、サイバー攻撃に対してセキュリティ対策を複数講じて被害を受けるリスクを最小化する手法である。例えば、入口対策では脅威の侵入を防ぐためのファイアウォールがあり、内部対策では侵入後の被害を最小限にするためのウイルス対策ソフトやログ監視、さらに出口対策による外部への漏えいを防ぐための対策を行うことを言う。多層防御を実施すると、より堅牢なセキュリティ体制を構築できる。
しかし、現実はどうだろうか、サイバー攻撃はどの職場にも起こりうる可能性があり、一旦、標的にされると逃れることはもはや不可能に近い。特に最近の攻撃パターンは巧妙な仕掛けになっていたりするため、セキュリティ対策のシステムだけでは発見することが困難になっている。巧妙な手法としては、社員(本人)になりすました状態で侵入してくる危険な手法がある。どれだけ防御機能を重ねても、完全に防ぐことはもはや不可能だ。したがって、攻撃を受けることを前提に被害が少なくなるように最悪の事態を免れる方法を考えなければならない。
この多層防御の考え方の中に、社員の対応力も入れるという考え方は有効ではないだろうか。外部からのウイルス侵入ルートは、圧倒的に社員のPCからが多く、社員による入口対策を多層防御の1つとして考えることである。このように全社一丸となってセキュリティに意識を向けることが、強い会社を作るものと考える。
4. セキュリティトレーニングの大切さ
近年、地球規模の災害を目にする機会が増えている。日本の自然災害では地震や台風、線状降水帯による激しい豪雨被害も頻発している。災害時は状況を確認するための行動ではなく、たとえ「空振り」であっても避難指示が出る前の行動を決めておくことが大切であり、そのためには普段からの備えが大切になってくる。日頃からの防災意識を高く持ち、正しい知識に基づいた防災訓練を定期的に行うことで体が自然に動くようになる。
サイバー攻撃による組織としての対応も同様の避難訓練や、状況によっては社員同士が協力しあうなどの行動が必要になってくる。そのためにもサイバー攻撃の被害を理解し、身を守るための訓練を実施することが重要だ。
サイバー攻撃に対する訓練は、個人が確認してスキルの向上だけが目的ではない。インシデント発生からの連絡体制が上手くいくか、緊急時に社員へ一斉に連絡するにはどうすればよいか、連絡手段の確認にもなるため、定期的な訓練は是非行ってほしい。そうしていれば、社員の意識も変わり、正しい対応と社員の協力による初期消火が可能になる。また、被害を最小限に抑えることも可能になる。
- 訓練 (Training):
- 主な目的は手順の理解や習熟度の向上のことであり、セキュリティの対応手順の練習のことを言う。
- 演習 (Exercise):
- 主な目的は計画や対応手順の妥当性や準備状況の確認・検証のことであり、実際の状況や問題に対して実践的なリハーサルを行うようなもの。手順の確認など。
5. メール訓練を実施するメリット
最近、サイバー攻撃に対処するためのメール訓練を実施している会社が多くなった気がする。実際の業務に影響してはいけないため、あらかじめ訓練する日を前もって知らせたりしてはいるが、このメール訓練が何の役に立つかを解説したい。
メール訓練の重要なポイントは、偽メールのURLをクリックした後の異変について、迅速に報告するかどうかの確認と、異変を見つけてからの社員の正しい行動ができるように訓練するところが大切なのである。重要なのは間違ってメールを開いた社員の数が問題なのではなく、メールを開封してしまった社員の対応で、情シスへの報告がしっかりできるようになることが一番の目的である。間違って怪しいメールを開封してしまった場合、その状況の振り返りを行い、改めてeラーニングを受講してもらうなど、訓練の結果から社員への気づきをサポートするところが重要だ。メールからの攻撃は、日本時間の月曜朝とか、連休明けに多いと言われている。メールの量が多いため、慌てて開封させてしまう心理を読んでの攻撃手法だ。
僕が日頃行っているスパムメール対策について紹介したい。通常、メールを読む時は、心当たりのないものはできるだけ後回しにするようにしている。例えば「後回しフォルダ」を1個作っておき、未読のままでいいので、振り分けを手動で行っている。後からじっくりみると結構怪しいものとしての判断がつくからだ。また、タイトルや、アドレス(ドメイン)などに見覚えがないものは、躊躇せず消去するようにしている。特に、Web会議中にメールが来たものについては、そのままにしておくか、全て「後回しフォルダ」に移動している。Web会議中であれば、何となくメールも見たくなるが、注意力が低下しているのでやめた方がよい。
6. 経営者もトレーニング(訓練)に参加する
経営者が皆ITに詳しいとは限らない。したがって情シスの担当者は経営者への説明を日頃から行うことが大切である。経営者は日々忙しく時間がないと言われるため、定期的な報告を積み重ねることで、セキュリティ言語を習得させておくことをお勧めする。ある意味これも訓練だからだ。「サイバーセキュリティ対策は、全社員一丸」、その中には経営者も含まれることを忘れてはいけない。
前職では、経営層に向けたトレーニングを行ったことがある。経営者を巻き込んで組織間の情報共有、社内外への連絡なども含め、実践的に体感をしてもらうものだ。演習に近いものではあるが、経営者全員に体感してもらうことであり、経営者同士の話し合いが大切になる。サイバー攻撃による被害が発生した時には、社員より経営者がパニックになっては、情シスの対応にも影響するためだ。疑似体験を通して自分のこととして認識してもらうことが大切になる。サイバーセキュリティ対策に、全社的に関わっていくことがサイバー攻撃から守る強い会社につながるのだ。
7. まとめ
会社のサイバーセキュリティ対策を考える場合、社員のPCが侵入ルートになることを認識してほしい。PCを使う社員が100人いれば、100か所の入口があるのと同じだ。サイバー攻撃を完全に防ぐことは困難であるが、全社一丸となって取り組むことが重要だ。そのためにもトレーニング(訓練)を定期的に行い、疑似体験によって、危険な状態であることを認識し、ネットワークの遮断を自ら行い、情シスへの報告を迅速に行えるようになる。サイバー攻撃に対して強い会社づくりは、システムだけに頼るのではなく、社員の対応による多層防御が鍵になるのではないだろうか。
<< 関連コラムはこちら >>
■情シスはAIをいち早く活用して、新たなビジネスチャンスを生み出そう
■ベテラン情シスの知識・経験を会社としてどう継承すべき? ノウハウ継承の4つのアイディア
■初めてPoCを任された情シスへ伝えたい、成功のための事前準備とは?
■「報・連・相」では相談が肝心!情シス職場の風通しを良くする相談のコツ
■サイバー事故を防ぐセキュリティ研修のコツとは? 現場を巻き込むひと工夫が決め手!
■プロジェクト成功の秘訣とは? 情シスがPDCAの「Do」を意識して対応すること
■情シスは生成AIツールをどう使うべき? 失敗談から考えるビジネスへの活用法
■プレゼン資料作成スキルを上げる! 情シスの話が伝わる構成力を身につける方法
■情シスに伝えたい!IT専門用語をわかりやすく説明するには?
■気をつけたいシャドーIT! 情シスは「危険性の周知」と「管理の強化」を進めよう
■情シス不足解消策は採用のみにあらず! 組織内からできること
■ITシステムを守る「サイバーBCP」で情シスがすべき4つの対策
■情シスはDXを考えていく上で、一体、何をすればいいのか?
■情シスを悩ませるルールの違反や形骸化…「記憶」から「記録」で動く組織へ
■情シスの人材確保は難しい…増大する業務負荷を乗り越えるヒント
■リスク事例で読む、情シスにしかできないITのリスクマネジメント
■Withコロナで気がついた、テレワークの継続を前提とした将来の情報システム運用
■情シスに求められるスキル! 聞き手が耳を傾けるプレゼン力を身につける方法
■アフターコロナの時代は情シスの大きな転機になる~チャンスを生かし、今すぐ実践できること~
■目標設定と成功するためのタイムマネジメント「時間管理」について
■システム障害は、「気の流れ」が変わった時に発生しているのではないか
■情シス部門の必須知識! 経営層の理解を得て予算を獲得する方法
■デジタル変革(DX)に求められる人材はなぜ確保できないのか?
■テレワークによるコミュニケーション不足解消と、メンタルヘルスケア
■組織で挑む、ヒューマンエラー抑止(全2話)
■情シス業務の醍醐味(全3話)
■有事に備えよ!(全3話)
■著者紹介■
熱海 徹(あつみ とおる) 氏
1959年7月23日、仙台市生まれ、東京都在住
40年近く日本放送協会 NHK に籍を置き、一貫して技術畑を歩んできた。転勤の数は少ないが、渡り歩いた部署数は軽く10を超えている。その中でも情シス勤務が NHK 人生を決めたと言っても過言ではない。入局当時は、放送マンとして番組を作るカメラマンや音声ミキサーに憧れていたが、やはり会社というのは個人の性格をよく見ていたんだと、40数年たった現在理解できるものである。20代の時に情シス勤務をしたが、その後に放送基幹システム更新、放送スタジオ整備、放送会館整備、地上デジタル整備等、技術管理に関する仕事を幅広くかかわることができた。今まで様々な仕事を通じてNHK内の人脈が自分としては最後の職場(情シス)で役に立ったのである。考えてみたら35年は経過しているので当たり前かもしれない。2016年7月には自ら志願して、一般社団法人 ICT-ISAC に事務局に出向し、通信と放送の融合の時代に適応する情報共有体制構築を目標に、放送・通信業界全体のセキュリティ体制整備を行った。ここでも今までの経験で人脈を作ることに全く抵抗がなかったため、充実した2年間になった。私の得意なところは、人脈を作るテクニックを持っているのではなく、無意識に出来ることと、常に直感を大切にしているところである。