2024年9月17~19日に開催された「TECH+フォーラム - セキュリティ 2024 Sep. 次なる時代の対応策」に、電通総研 金融ソリューション事業部 戦略アライアンス部 セキュリティソリューショングループ アソシエイトマネージャー 十川準一氏が登壇。「サイバー攻撃に対する『"人"による防御』を強化するには? ~世界最大のセキュリティ意識向上プラットフォーム"KnowBe4"の活用事例ご紹介~」と題して、「KnowBe4(ノウ・ビフォー)」の概要と、電通総研がKnowBe4を社内にどのようなステップで導入し、どのような効果を得られたかについて解説した。
人を狙った攻撃が増加するなか「ヒューマンファイアウォール」での防御が重要に
近年サイバー攻撃はますます高度化し、なかでも人を狙った標的型攻撃の脅威が増大している。IPAの「情報セキュリティ10大脅威」を見ても、「ランサムウェア攻撃」「内部不正」など10の脅威のうち半数が、特定の個人を攻撃対象として狙っている。また、フィッシングメールなど、人のミスを狙う攻撃も、AI技術の活用が進み、高度化、巧妙化が進んでいる。
そんななか十川氏は「サイバー攻撃に対するシステムへの投資が増えているにもかかわらず、従業員の行動によって、企業がフィッシングやランサム攻撃の被害者になったり、うっかり機密情報や認証情報を外部に漏洩させてしまったりといった事故が後を絶ちません。システム面でのセキュリティ対策に加えて、人に焦点を当てた対策が重要です」と強調する。
人に焦点を当てた対策としては、まずは「従業員個人が不審メールの添付ファイルやリンクを開かない」「うっかりミスによる事故を起こさない」といったものが挙げられる。
「システム面での対策だけではなく、自社やビジネスを取り巻くリスクの理解、セキュリティを尊重する文化の醸成、だまされないための知識の習得や訓練といった、人に焦点を当てた対策が重要です。そのためには、企業側が人を狙った攻撃を受けるリスクを把握して、どの部署のどういった役職、年次の従業員で起こる可能性が高いのかを確認し、事故が発生する可能性が高いところで、重点的に教育を実施していくことが必要です。それによって会社全体のセキュリティを高めていきます」(十川氏)。
そうした対策に有効なものとして、十川氏は、従業員セキュリティ意識向上のためのトレーニングプラットフォーム「KnowBe4(ノウ・ビフォー)」を挙げた。
「KnowBe4はグローバルで6万5千社(※1)以上への導入実績のあるSaaS型のプラットフォームです。従来のテクノロジーやシステムに依存した対策だけではなく、従業員をしっかり教育・訓練することによって、サイバー攻撃に対する人の防御層を追加するというコンセプトのソリューションです。この防御層は、ヒューマンファイアウォールと呼ばれます」(十川氏)。
※1 最新の導入顧客数は70,000社以上(2024年9月現在)
KnowBe4の大きな特長は、単にセキュリティ教育や標的型メール訓練を提供するだけでなく、組織や個人のセキュリティレベルを可視化しながら、そのレベルに合わせたセキュリティ教育・訓練を継続的に実施できる点にあるという。
セキュリティ意識向上プラットフォーム「KnowBe4」の三つの特長とは
十川氏は、KnowBe4の特長を三つのポイントに整理し、解説した。
一つめは、「統合型」だ。これまでは、eラーニングによる社員教育や標的型メール訓練をそれぞれ別のソリューションやサービスで実施することが多かった。KnowBe4は、セキュリティ教育、標的型メール訓練、それらの分析・効果測定までを一つのプラットフォーム上で提供し、完結させることができる。「教育から、訓練、分析・効果測定までのサイクルを継続的に回すことで、従業員のセキュリティ意識の強化を図ることができます。テスト形式のアセスメントコンテンツも提供されるため、その結果から、従業員のセキュリティ意識や会社全体のセキュリティ文化の醸成の度合も定期的に測定し、そこから次の教育計画に向けた検討材料にすることもできます」(十川氏)。
二つめは、「受講者にセキュリティに興味を持ってもらえるようなコンテンツ作り」だ。KnowBe4には、多言語に対応した約1,500種類(※2)の教育コンテンツがあり、映画仕立ての動画コンテンツも豊富に用意されている。セキュリティ教育では、「積極的に取り組んでくれないような社員」に対していかに興味を持ってもらえるかが重要だが、こうした動画コンテンツは、社員がモチベーションを持って取り組む手助けとなる。
「『社員のセキュリティの啓発活動はマーケティング活動と同じ』とよく言われます。動画のようなコンテンツを社員に対して提供して、いかに興味を持って受講してもらうかがカギです。また、KnowBe4のプラットフォームは、自前の教育コンテンツをアップロードして、配信/管理することもできます。セキュリティだけでなく、社内教育全般のプラットフォームとして利用することができます」(十川氏)。
三つめは、「サブスクリプション型のサービス」であるという点だ。KnowBe4は、サブスクリプション型のソリューションであり、契約期間内であれば、回数制限なくセキュリティ教育や標的型メール訓練の配信が可能だ。
「お客様の状況に合わせ、必要な時に必要な分だけ、柔軟なセキュリティ教育を計画できます。KnowBe4には2万9,000以上(※2)の標的型メール訓練用のテンプレートも用意されていて、eラーニングコンテンツやメール訓練用のメールを作成する管理者側の工数削減も可能です」(十川氏)。
※2 数値は2024年9月現在
電通総研グループで「KnowBe4」を社内導入、2年間で得た成果とは
電通総研には、社内でKnowBe4を導入し、実際にどのような効果が得られるのかを検証してきた経緯がある。導入のきっかけは、従来のセキュリティ教育では限界があったことだという。
「標的型メール訓練を年2回実施したり、注意喚起や啓蒙のために全社ポータルやメールなどで適宜情報配信を行ったりしてきました。また毎年、部署長以上に参加必須の勉強会を開催したり、グループ各社のセキュリティ担当者が定期的に集まって情報共有を行ったりしてきました。しかし残念ながらセキュリティインシデントは一定確率で発生している状況でした」(十川氏)。
特に多かったのが「メール誤送信事故」だ。大きな事故にはつながらなかったが、例年インシデントのトップを占めていた。また、全体的に「個人の不注意」に関連した事故も多く見られた。そんななか、「人の不注意によるインシデント件数を少なくするためには、セキュリティ教育と社員のセキュリティ意識の向上がカギとの結論にいきついた」(十川氏)のだという。
「教育を受講する側、実施する側共に、それまでのやり方に疑問や限界を感じながらも、ほかに有効な手立てが見つからず、従来のやり方をなんとなく踏襲してきたというのが実態です。それを変えるきっかけとなったのがKnowBe4です。導入と運用設計を3カ月ほどかけて実施し、正社員から契約社員や海外子会社を含むグループ会社へ拡張しながら展開しました。導入決定から本番運用までは大きく六つのステップがあります。このうちポイントとなったのは『教育方針の検討』『アセスメントの実施』『メール訓練の実施』の三つです」(十川氏)。
一つ目の教育方針の検討では、まず年初のタイミングでKnowBe4の二つのアセスメントコンテンツを活用したアセスメントを実施し、定期的に自社のセキュリティレベルを計測、評価。次に、eラーニングや標的型メール訓練の実施、メール訓練の不合格者に対する追加教育、結果の分析・評価といった一連の流れを1セットとして、このサイクルを年2回実行した。さらに、従来から行っている部署長向け、新人/中途入社の社員向けの教育プログラムを拡充させた。
社内導入で培ったノウハウを基に、顧客向けのサポートや情報提供も実施
二つ目のアセスメントの実施では、提供されるツール「セキュリティカルチャー評価」を活用した。これは、受講者が約30の質問に回答することで、会社全体のセキュリティカルチャースコアと「心構え」「振る舞い」などといった七つの細分化されたカテゴリに対するスコアを算出するものだ。
「電通総研で初回に行ったセキュリティカルチャー評価の全体スコアは平均以下の『66』、全体の受講率は『59%』であり、共に改善の余地がありました。年代別に見ると、若年層のスコアが低いことも分かりました」(十川氏)。
三つ目のメール訓練の実施では、分析に力を入れた。年代別では、50代までは年代が上がるほどクリック率が下がるが、60代になると一気にクリック率が上昇していた。また、経営職や役員のクリック率が低く、一般社員のクリック率が高いことも分かった。
これらを踏まえ、2年間教育を継続したところ、セキュリティカルチャー評価のスコアは66から69に上昇し、受講率は59%から73%に上昇した。社員の勤務年数別にみると、勤務5年以上20年未満のいわゆる中堅社員のスコアが低いことが分かったため、次の施策検討の材料とした。また、アセスメントコンテンツ「セキュリティ意識レベル習熟度評価」は、スコアが64から72に上昇し、業界平均を上回った。
「情報セキュリティに関する内容は、受講者からすれば自分事になりにくく、『つまらない』『めんどくさい』という声も多く聞きます。少しでも興味を持ってもらえるようキャラクターを作ってメッセージを語らせたり、教育用の動画を作ったりもしました。KnowBe4を使い始めて約3年経過しましたが、年数を重ねるごとに受講率もセキュリティ意識も向上しています。このことはセキュリティ教育を社内で推進する管理者側のモチベーションの向上にもつながっています」(十川氏)。
最後に十川氏は、電通総研がKnowBe4をライセンス販売する他、社内導入で培ったノウハウを基に、経験豊富なスタッフによる手厚いサポートや各種情報提供も実施していることも紹介し、講演を締めくくった。
専門家との質疑応答
専門家との質疑応答では、NTTセキュリティ・ジャパンコンサルティングサービス部 北河拓士氏とSBテクノロジープリンシパルセキュリティリサーチャー 辻 伸弘氏が対応した。
まず北河氏は「提供コンテンツのうち、日本語されているコンテンツと、日本語化された映画コンテンツの数はどのくらいありますか。また、フィッシングメールのテンプレートは2万9,000(※2)くらいとのことですが、このうち日本語化されているテンプレートの数はどのくらいありますか。単に日本語化しただけでなく、そもそも日本向けに作成されたコンテンツやフィッシングテンプレートはありますか。コンテンツのカスタマイズは可能ですか」と聞いた。
これに対して十川氏は「ライセンスの種類にもよりますが、日本語化されているコンテンツは現時点で最大で650くらいです。その中で動画やアニメーションを含むコンテンツはだいたい3分の2で、映画仕立て・ドラマ仕立てのシリーズは約150くらいです。日本語は字幕や吹き替えです。また、日本語化されたフィッシングメールのテンプレートは約750種類です。(※3)カスタマイズについてはKnowBe4のコンテンツの内容自体を変えることはできませんが、外部リンクや、お客様が作成したPDF資料・動画などのコンテンツを配信することは可能です」と回答した。
※3 教育コンテンツやメールテンプレートの数は、2024年9月時点の数値
続いて、辻氏が「メールを利用した訓練は昔からありますが、それ以外のSMSや、Microsoft Teamsなどのグループウェアを使った攻撃者からのリーチ方法への訓練は可能ですか。訓練としてメールからの遷移先にフィッシングサイトを設定したり、ユーザーが教育コンテンツを見たかどうかの計測は可能ですか」と質問した。
これに対しては「メール以外にはコールバックフィッシングがありますが、日本向けにはまだ提供されておりません。フィッシングサイトを模したものを設定したり、そこで何らかの情報を入力したかの確認は可能です。ユーザーが教育コンテンツを受講したかどうかも確認することができ、メール訓練で不合格になった人を自動的にグルーピングして、そのグループに対しての教育コンテンツの配信も可能です」(十川氏)と回答した。
さらに、辻氏が「セキュリティは教育が大事だということを強調されていました。本当にそう思います。ただ教育コンテンツは導入しやすいため、『とりあえず導入した』になりやすい。継続することで形骸化し、『何人やった』を報告して終わりということもあります。その辺りはお客様からどんなフィードバックを得ていますか」と聞くと、こう回答した。
「機能面などにさまざまなご意見をいただいています。メール訓練を実施した結果を受けて「想定より高かった、低かった」といったコメントの他、教育の回数を増やしたい、コンテンツが好評だったのでトレーニングの対象を広げていきたいという声も多いです。メール訓練の実施によって、セキュリティ意識が高まったり、重要性を認識する効果もあります。また、結果を受けて取り組みを継続的に改善していくなかで、次の活動にどう生かせばいいか、どう計画すればいいかのご相談も受けることが増えています。メーカーと協力しながら、お客様のご要望に応じて、可能な限りのアドバイスをさせていただくといったサポートも行っています」(十川氏)。
関連情報
セキュリティ意識向上トレーニングプラットフォーム「KnowBe4」
>>詳しくはこちら
[PR]提供:電通総研