運輸業はデータ漏洩が起こりやすい業種トップ10にランク入りしています。ご想像のとおり、北米最大級の輸送・物流会社Werner Enterprisesではこのことを大いに危惧しており、対策に注力しています。私が率いるイノベーション部門Werner EDGEは、高度で安全なネットワークを通じて商品を滞りなく移動させることが責務であり、これには大規模な労働力を保護するための拡張性が欠かせないサイバーセキュリティ対策も含まれています。
この責務を果たすには、ほとんどの漏洩の根本原因であるフィッシングへの対策を怠らないようにしなければなりません。実際、企業がサイバーセキュリティ教育を強化しているにもかかわらず、4件中3件の漏洩は依然「人的要素」が要因になっています。従業員が悪性リンクを1回クリックするだけで、会社全体に危険が及ぶ可能性があります。ちなみにFBIによると、ビジネスメール詐欺によってこれまでに500億ドル以上の損害が出ているといいます。悪性アクターはより巧妙な手口で企業に侵入し、AIを駆使して攻撃の高速化と範囲拡大を図っています。
つまり、フィッシング問題はなくならないということです。ネットワークアーキテクチャとセキュリティがどんなに強固であっても、弱点は必ず存在し、それが一個人であることが少なくないのです。一瞬の気の緩みが企業全体に災いをもたらしかねません。そのため、セキュリティ意識高揚のための訓練を全体的に調整して(人間の)防衛線を補強する必要性が、一層明白になっています。
個人レベルのサイバーセキュリティは、いくつかの簡単な習慣を身につけることです。道路を横断する前に左右を確認するように、返信したりリンクをクリックしたりする前にメールをよく読み、メールアドレスを確認することを習慣化する必要があります。Wernerでは通常、45~60分の必修訓練1回を含め年に7、8回のセキュリティ訓練を実施しています。訓練は比較的シンプルでわかりやすく、基本的なことを網羅しています。また、四半期ごとに再訓練を実施し、新しい脅威が出現した時などに5~7分の臨時訓練を実施して、全員が最新の情報を得られるようにしています。これらも必修です。
年間を通したセキュリティ訓練がベストプラクティスとされている理由はいくつかあります。
コンプライアンスの観点から、継続的訓練が保険の要件になっています。
脅威の状況は常に変化しています。悪性アクターは、最も用心深いユーザーでさえすり抜ける新手口を常に編み出しており、従業員は警戒すべき最新手口を知っておく必要があります。
時間が経つにつれて警戒心が薄れていくのは人間の性です。訓練は、フィッシングその他の脅威に真摯に向き合うよう、改めて注意 喚起する役割を果たします。
当社では訓練に多くのベストプラクティスを取り入れましたが、うまく機能しないこともいくつかありました。
最も効果が薄かったのは補習です。従業員が既知のフィッシングリンクをクリックした時は、アウトバウンド通信をブロックし、誰が問題のコンテンツに反応したかを特定することができます。そして、詐欺に引っ掛かった人に、やってはいけないことを改めて手短に教えるのです。
ところが、同じ人が数週間のうちに別のフィッシング詐欺に引っ掛かることが判明しました。私の推定では、補習受講者の70%近くがその後のフィッシングシミュレーションテストで不合格になっています。
そこで、繰り返し引っ掛かる人と話してみたところ、見方が変わりました。ある人は補習は罰だと感じ、また、ある人は、補習を受けたことでメールを読む、ワード文書を開くといった業務上必要な基本作業に神経質になっていたのです。
継続的な意識高揚訓練は詐欺師の先手を打つために不可欠とはいえ、懲罰的な対策は思ったほど効果的でないという結論に達しました。サイバーセキュリティ担当者は、従業員の時間を尊重しつつ、各自が行動に注意するよう動機づける魅力的な方法を見つける必要があります。
最高の反応を引き出すためには、鞭ではなく飴が必要なのです。
セキュリティ訓練のゲーム化は 、正の強化をもたらし、不審な通信を報告するなどの良い行動に報いる方法の一つです。例えば、リーダーボード、現金報酬、ギフトカード、オリジナル記念品などのインセンティブは、多忙な社員が訓練に励もう、進化するフィッシング脅威についてもっと知ろうという気になる具体的動機になり得ます。
訓練の改善は対策の一面に過ぎません。いずれは誰かが油断します。企業はサイバーセキュリティ体制を継続的に強化する覚悟をしなければなりません。
人的ミスと不注意は、企業セキュリティに対する二大脅威です。これらの脅威を完全に排除することは不可能ですが、テクノロジーをセーフティネットとして活用し、脅威の侵入を最小限に抑えることはできます。
まずはゼロトラストから始め、多要素認証(MFA)や先制的メールセキュリティ(光学式文字認識による画像スキャンを含む場合も)といった予防ツールを活用して、IT・セキュリティ部門の負担を軽減することも可能です。
侵害されたデバイスのネットワークからの隔離と除去を自動化するエンドポイントセキュリティツールの導入も重要です。詐欺師が攻撃にAIを活用するように、ビジネス界もAIを活用してセキュリティ侵害をより迅速に特定し、対処する必要があります。そうしたテクノロジーを活用できる企業は、侵害を防げる確率を高められます。
サイバーセキュリティは、万全の手を打つことが非常に重要です。Wernerでは、倫理的ハッカーを雇って外部からネットワークへの攻撃を試みるレッドチームテストを含めて、侵入テストを定期的に実施しています。侵入テストは脆弱性の発見に役立ちます。
レッドチームは物理的なセキュリティもテストします。駐車場を歩き回り、後部座席にノートパソコンやバックパック、書類などが残された無施錠の車がないかチェックします。磁気カードをスワイプしたりバッジをスキャンしたりして建物に入る人々の尾行も行います。無施錠で放置されたノートパソコンやスマートフォンがないかチェックし、それらのデバイスからファイルを盗むことが可能かどうかを確認します。こうしたテストの結果を共有することが、サイバーセキュリティの懸念を他人事と感じている従業員にとって大きな警鐘になります。
ITリーダーは誰しも、情報漏洩が財務、オペレーション、評判に与える影響のコストを認識し、セキュリティテクノロジーの手抜きはできないことを知っています。課題は、全社員が同じように脅威を警戒するようにすることです。
私は行動力、緊急性、簡潔性を重視しています。企業が競争力を維持するには、ITイノベーションに歩調を合わせなければなりませんが、急ぐあまりセキュリティの基本を疎かにすることはできません。オペレーション、システム、インフラのあらゆる面を最適化することで、人的ミスを減らすだけでなく、設備投資や運用コストを削減し、より多くの資金やリソースをサイバーセキュリティに割り当てることが可能になります。サイバーセキュリティは予算が許す限りの堅牢性が必要です。
フィッシングは企業に数百万ドルの損害を与え、生産中断、サービス中断、顧客離れ、廃業の原因になり得ます。もし企業がサイバーセキュリティを「ケチ」ったり従業員の訓練を減らしたりすれば、すべてを危険にさらすことになります。むしろ、セキュリティをオペレーションと企業文化に組み込んで、悪性アクターが攻撃してきた時に従業員とビジネスが対抗できる力をつけましょう。企業を健全で安全に保つために必要なことです。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの 一環です。
Daragh Mahon氏 - @daraghmahon
EVP兼CIO、Werner Enterprises
この記事では、以下のことがわかるようになります。
オペレーションと文化はセキュリティと一体化
訓練、侵入テスト、ソリューションのバランスをとりながら常に攻撃の先手を打つ方法