2025年2月、TECH+フォーラム セキュリティ 2025 Feb.「今、セキュリティ担当者は何をすべきか」がオンラインで開催された。本稿では、当日実施された講演のなかから、「教育」という観点でセキュリティ強化の手法が語られた「生成AIによるサイバーセキュリティへの影響とセキュリティ教育の重要性」の概要を紹介する。講演者はKnowBe4 Japanの広瀬 努氏だ。

  • 写真:KnowBe4 Japan合同会社 セキュリティエバンジェリスト 広瀬 努氏の顔写真

    KnowBe4 Japan合同会社 セキュリティエバンジェリスト 広瀬 努氏

生成AIを活用した巧妙な攻撃により、「人」の存在が大きな脆弱性になる

KnowBe4は、従業員のセキュリティ意識を向上させるトレーニングプラットフォームベンダーだ。本社はアメリカのフロリダ州にあり、製品の導入企業数は全世界で70,000社、日本でも500社を数えるほどとなっている。同社が成長を遂げている背景には、2020年からアメリカを中心としたフィッシングやビジネスeメール詐欺被害の急増がある。こうしたシステムだけでは防ぎきれない被害を予防するためにKnowBe4が提供するソリューション、つまりヒューマンファイアウォールやセキュリティ意識の向上のためのトレーニングに注目が集まっている。

昨今、生成AIを使ったサイバー攻撃が巧妙化しており、香港ではディープフェイクでファイナンシャルオフィサーになりすました犯罪者が、ビデオ会議で経理担当者をだまし、日本円にして約38億円をだまし取るという事件が起きている。ビデオ会議の画面に見知った上司や同僚が映っていることで、警戒心を解いてしまったのだ。このようなテクニックがますます横行してくると、「人」の存在が大きな脆弱性になりかねない。これに対抗するにはセキュリティ教育が重要だと、広瀬氏は言う。

AIを利用する際にもリスクがあり、たとえば、生成AIに入力したプロンプト(質問・指示)に自社の機密情報を含めてしまえば、そこから情報が漏洩する可能性がある。また生成AIは、オンラインにある玉石混合のデータを収集してきて、それをもとに文章や画像、映像などを生成するため、他者の著作権や商標権を侵害するリスク、ハルシネーションのリスクも考えられる。使う側がこれらをしっかりと理解をしていないと大きな問題を生みかねないので、やはりリテラシー向上のためのセキュリティ教育は欠かせない。

eラーニングや訓練を容易に実施できるKnowBe4のソリューション

KnowBe4のプラットフォームには、eラーニングによるセキュリティ教育、訓練メールの実施・分析など、セキュリティ意識向上のためのトレーニング機能(KSAT:KnowBe4 Security Awareness Training)が備わっている。利用の流れはシンプルだ。まず「キャンペーン」を作成して開始日と対象者を設定すると、自動的にeラーニングのコンテンツや訓練メールが配信される。eラーニングのコンテンツはビデオ形式やゲーム形式、ニュースレター形式、テスト付きトレーニング形式などさまざまで、対象者の役職や部門に応じて内容に変更を加えることも可能だ。

自社で製作している配信コンテンツのなかには『The Inside Man』という高クオリティのドラマもあるといい、品質を追求する理由として広瀬氏は「どんなに優れたコンテンツがあったとしても、まず興味関心を持ってもらわないと進んでいかないので、このようなコンテンツを用意しました」と語った。

訓練メールには、フィッシングメールやQRコード付きメールなど約30,000(日本語版では約1,500)のテンプレートが用意されており、難易度によって5段階に分かれている。万が一、引っかかってしまった場合には、ネタバラシの画面が出てくる仕組みになっており、どこに注意すべきだったのかを学べるように工夫されている。

  • 図版:訓練メールのサンプル

    訓練メールのサンプル

個人のセキュリティ意識の向上と、それを評価する風土がセキュリティ文化を生む

KnowBe4プラットフォームのプラグインには、メーラーに怪しいメールを通報・削除するボタンを追加するものがあり、被害の拡散を防止することができる。ある企業では、訓練メールに対してこのボタンを押すと同時に、別メールで全社に向けて警告を発した従業員がいたと紹介された。「この通報者にはセキュリティに関する当事者意識が根付いていたからできたことだ」と広瀬氏は言う。通報率は、高い意識を持っている人、行動に移している人がどれだけいるのかの指標にもなるため、通報率が高いに越したことはない。訓練メール実施後には、ダッシュボードやレポートで結果を確認でき、現状把握が容易になっており、うっかりだまされてしまった人に対して追試を行うことも可能だ。

「目指しているのは、従業員一人ひとりのセキュリティ意識を向上することですが、究極のゴールは文化の形成にあります」と広瀬氏は語る。同社では文化形成のレベルを、セキュリティ意識の習熟度(個人の理解度)、セキュリティ文化レベル(組織の風土、気風)の指標で判断できる仕組みを用意している。年1回、各導入企業内で習熟度テストやアンケートを実施し、そこから割り出したスコアを全世界70,000万社と比較できるのも魅力。自社の習熟度とセキュリティの文化レベルの位置付けを判断できるというわけだ。

  • 図版:自社の習熟度・文化レベルを他社平均と比較できる解説図
  • 図版:自社の習熟度・文化レベルを他社平均と比較できる解説図

    自社の習熟度・文化レベルを他社平均と比較できる

「セキュリティは誰の責任なのか、IT部門が頑張ればいいのか、経営者が投資を増やしてくれればいいのか、そういうものではありません。全従業員がしっかりとした当事者意識を持って取り組む必要があると考えます」と広瀬氏は教育の重要性を強調して、講演を終えた。

「秒進分歩」で進化するAIに対抗するには、教育の頻度を高める必要がある

講演後は、NTTセキュリティ・ジャパン株式会社プロフェッショナルサービス部の北河 拓士氏、piyolog運営者のpiyokango氏を交えた質疑応答の時間がとられた。そのうちのいくつかを紹介しよう。

Q(北河氏):フィッシング訓練に失敗した従業員に特定の教育を自動で割り当てるなど、訓練と教育コンテンツを連携させる機能はありますか?

A(広瀬氏):あります。フィッシングの訓練のフィッシングメール訓練の結果、スコアが悪かった人に対しては、こういうトレーニングコンテンツを提供する、さらに追加でこの訓練メールを送信するなど、スコア値に応じてスケジュールする機能があります。

Q(piyokango氏):もちろん予算面もあるでしょうが、他社製品と比較してKnowbe4が選ばれるポイントとは?

A(広瀬氏):我々の共同創設者が「伝説のハッカー」といわれるケビン・ミトニック(※)で、最初はその影響力が大きかったと思います。また、配信ドラマ『The Inside Man』を視聴された方が「これだ」と選ばれることも多いです。さらに、自社のセキュリティーカルチャーの浸透度を測定でき、導入企業70,000社と比較できる機能は他社にはなく、高い評価をいただいています。

Q(北河氏):セキュリティインシデントや被害が減少したという、具体的な事例があれば教えていただきたい。

A(広瀬氏):保険会社とともに行った調査では、KnowBe4を導入した後、ランサムウェア被害の保険申請をする企業が46%も減ったという結果が出ています。

Q(piyokango氏):生成AIは日進月歩で進化していますが、教育コンテンツやサービスも追随されていますか?

A(広瀬氏):日進月歩どころか秒進分歩の世界になっていますし、それに伴う各国の法規制もどんどん出てきているので、我々もコンテンツのアップデートはかなり頻度を高めています。ただ、それでも追いつかないので、お客様には基礎的な知識強化のために教育の頻度を上げていくことをお願いしています。

(※)ケビン・ミトニック(1963~2023) 世界で最も有名なハッカーのひとりに数えられ、2000年よりホワイトハッカーに転じる。現在では最も有名な「ソーシャルエンジニア」としても知られ、KnowBe4においては共同創設者であるとともにCHO(Chief Hacking Officer)を務め、同社のトレーニングカリキュラムに大きな影響を与えた存在となった。2023年7月、すい臓がんにより死去。

関連リンク