ESETはこのほど、「Executives behaving badly: 5 ways to manage the executive cyberthreat」において、組織の幹部がサイバーセキュリティの脅威になっていると伝えた。幹部のセキュリティ意識の低さが従業員へ波及することがあるため、幹部は率先してセキュリティ強化に取り組む姿勢を示すことが重要としている。
ESETは日本、米国、ヨーロッパ各国、オーストラリア、中国の6,500人以上の組織の幹部、サイバーセキュリティ専門家、従業員にセキュリティに関するインタビュを実施。その結果、幹部の発言と行動には乖離があることが明らかになったという。
注目すべきインタビューの回答結果は次のとおり。
- ほぼ全員(96%)が組織のサイバーセキュリティの義務を少なくともある程度は支持している、またはそれに投資している
- 78%の組織が強制的なセキュリティトレーニングを提供している
- 88%の組織がマルウェアやフィッシング攻撃などの脅威を認識して報告する準備をしている
加えて、組織の幹部は次のとおり回答している。
- 過去1年間に1つ以上のセキュリティ対策を無視したことがある(48%)
- 覚えやすいパスワードを使用している(77%)
- フィッシングのリンクをクリックする(35%)
- 仕事用アプリケーションにデフォルトのパスワードを使用している(24%)
このように、幹部のセキュリティ意識の低さが明らかとなっており、中でもデフォルトのパスワードの使用に関しては従業員の14%よりも意識が低いことが判明している。ESETはこのような経営陣の脅威から組織を保護するために、組織に対して次の5つの対策を推奨している。
過去1年間の経営活動の内部監査を実施する
インターネット活動、フィッシングリンクへのアクセスなど、潜在的に危険な行為やセキュリティ担当者およびネットワーク管理者とのやり取りも調査の対象とする。この調査により幹部の言行不一致の内容や、その影響を評価することができる。
簡単に解決できる問題から取り組む
簡単で最も一般的なセキュリティ対策から始める。具体的には、多要素認証(MFA: Multi-Factor Authentication)を義務化する。さらに、機密資料など特定の情報に対する幹部のアクセス制限を確立する。だたし、アクセス制限に関しては幹部間の軋轢を避けるため、アクセス制限の状況を定期的に伝達し、アクセス制限の理由を説明する必要がある。
セキュリティ上の不正行為とビジネスリスクを関連付ける
ゲーミフィケーションやシナリオを用いたトレーニングを実施してサイバーセキュリティの不備による影響を経営幹部に理解させる。過去にフィッシングリンクにアクセスしたことで侵害された大企業や競合他社の例などを取り上げると効果的。このとき、時系列の事実の列挙だけではなく人的、経済的、評判への被害についても焦点を当てることが重要。
上司と相互信頼を構築する
従業員がミスを犯したときに非難や軽蔑が起こりがちだが、上司は誠実で友好的なサポートを心がけ、本人の改善意識を引き出して継続的な学習を促すことが推奨される。また、ミスを犯した個人を特定するより間違いの原因を特定することが重要。
幹部向けの「上質な」サイバーセキュリティプログラムを検討
経営幹部は若手の従業員よりサイバーセキュリティへの対応が上手ではない。そのため、経営幹部には特別な注意を払う必要がある。
ESETは上記のような対策は企業文化に変化をもたらすため、浸透させるには時間がかかると指摘している。しかしながら、臆して何もしないよりも挑戦して改善を試みることのほうが有益と考えられるため、積極的に取り組むことを推奨している。経営幹部の取り組みの姿勢は従業員の鏡であり、組織全体のセキュリティ向上に寄与するものと期待されている。