企業へのサイバー攻撃が増えてきている昨今、サイバーセキュリティの取り組みはどの企業でも関心毎であろう。これまでであれば、ファイアウォールやウィルス対策ソフト、多要素認証などハードやシステムの強化が企業の主な関心事であったが、ここ最近はそれに加え、統制や教育に関しても関心が強まっている。
統制でいえば、有事が起こった企業の記者会見を見た経営者や情報責任者が、セキュリティ事故対策のセミナーに出席したり、ランサムウェア被害を想定して訓練を行ったりしているという。昨今の実情で、上層部が関心を持つことになり、その意味ではセキュリティ強化は進んでいるといえる。
そして今回のコラムの本題の教育だが、こちらは単なる教育だけにとどまらなくなっている。少し前まで、社員のセキュリティ教育といえばeラーニングで資料を配布し、テストなどを通して理解を強めるといった座学が主流だったが、最近では「実技=訓練」を行うことも増えてきた。
訓練で多いのは標的型メール訓練だ。例えば、よくできたフィッシングメールを社員に送り、引っかかった社員に対して恐怖を感じさせるといったものだ。もちろん、その後訓練であると告げる。そしてこういったフィッシングにはどう対応しなければならないのかと、eラーニング講習受講が漏れなくついてくるといったアフターケアも万全だ。情シスも何名の社員が引っかかったか統計をとることができ、被害が起きることを実感できる。
標的型メール訓練を支援するベンダーもあるが、M365ライセンスをお持ちでれば、実は追加費用なしでメール訓練ができる。MS Defenderの機能の一つである。これは宣伝ではなく、追加費用なく使えることを知って欲しい。また、すぐに開始することができる。ベンダーに頼らず標的型メール訓練ができるメリットとして、統制側のノウハウが手に入ることがある。ベンダーに頼ってしまうと「結果」だけが手に入り、その訓練自体のノウハウが手に入らない。ベンダーとSOC契約をしてCSIRTを形成しているのであれば問題ないが、そこまで費用をかけられない企業は、単発でメール訓練を行うのではなく、自身で実行してノウハウを取得すべきである。ノウハウを得ることでサイバー犯罪への対応力を強めることができる。
訓練を通じて社員のセキュリティ意識を高めるだけでなく、管理側の対応力も強めるとこができるので、テストだけでも自社で実行してほしい。
2025年12月