btzgrp
  • Microsoft Planner のレビュー: MS Planner は価値があるのか​​?
Headlines

従業員のセキュリティ意識とトレーニングを向上 | TechRepublic

05 mins
従業員のセキュリティ意識とトレーニングを向上 | TechRepublic
従業員はセキュリティチェックリストと盾と鍵のシンボルを背負って立っています。
画像: ジュリアン・アイヒンガー/Adobe Stock

セキュリティトレーニングは、フィッシング攻撃、マルウェア、その他のセキュリティ脅威に対抗する最良の方法の一つとしてよく宣伝されています。従業員がこれらの脅威の検知方法を理解していれば、被害に遭うことはないだろうという考えです。しかし、従業員に提供するセキュリティトレーニングの種類は、対策の効果を大きく左右します。

メールセキュリティプロバイダーのEgressが最近発表したレポートでは、特定のチェックマークを単に満たすことを目的とした汎用的なトレーニングの落とし穴を指摘し、セキュリティ意識向上とトレーニング(SA&T)を向上させるためのヒントをいくつか提供しています。Egressは、レポート「SA&Tのチェックマークを付けただけではセキュリティ行動は変わらない理由」をまとめるにあたり、ITセキュリティリーダーを対象とした過去の調査から得られた知見を活用しました。

企業は、セキュリティのベストプラクティスについて従業員にどのくらいの頻度でトレーニングを行っていますか?

ある調査では、ITリーダーの98%が少なくとも何らかのセキュリティ研修を実施していると回答しました。半数以上が年に数回実施しており、3分の1以上が毎月実施していると回答しました。調査対象者のほぼ全員が、セキュリティ研修は従業員に長期的な前向きな変化をもたらすと考えていると回答しました。

参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)

しかし、調査対象となったセキュリティリーダーの84%が、過去12ヶ月間にフィッシング攻撃の被害に遭ったことを認めています。このような侵害が後を絶たないのは、主に人間の行動が原因です。従業員がフィッシングメールに騙されたり、ミスでデータ損失を引き起こしたり、仕事の情報を個人アカウントにメールで送信するなど、特定のルールに違反したりしています。つまり、一般的なセキュリティトレーニングの提供だけでは、セキュリティインシデントの削減には効果がないということです。

セキュリティトレーニングをより効果的に

セキュリティ トレーニングの価値と影響を高めるために、Egress では 3 つの推奨事項を提供しています。

活動ではなく成果を測る

セキュリティ研修の真の成果を測定する必要があります。従業員の参加状況を単なる統計として見るのではなく、研修の結果として従業員にどのような行動の変化を期待するかを検討し、実際に変化が見られるかを判断してください。

こうした行動には、暗号化すべき機密メールを正しく分類すること、セキュリティ警告に従うこと、フィッシングメールに騙されないこと、一般的な人為的ミスを避けることなどが含まれます。これらはすべて測定可能であり、トレーニングが本当に効果を上げているかどうかを判断できます。

個人に合わせたトレーニングをカスタマイズ

全従業員に同じ汎用的な研修を提供するのではなく、経歴、ニーズ、職務、その他の要因に基づいて、個々の従業員に合わせた研修をカスタマイズしましょう。まずはセキュリティに関するアンケートを用いて、各従業員のリスクレベルを測定することから始めましょう。次に、従業員の職務と役職レベルを考慮し、サイバー攻撃の標的となる可能性を判断します。

次に、従業員が特権データや機密システムに関して、意図的または偶発的にセキュリティインシデントを引き起こすリスクを評価します。さらに、従業員の過去の行動を分析し、フィッシングメールに騙されたり、悪意のあるウェブサイトを閲覧したり、適切なパスワード管理を怠ったり、セキュリティガイドラインに違反したりしたことがあるかどうか、またその頻度を確認します。これらの要素に基づいて、適切なセキュリティトレーニングとコーチングを提供できます。

セキュリティトレーニングとリアルタイムの学習機会を組み合わせる

定期的かつ正式なセキュリティトレーニングは確かに重要です。しかし、従業員がフィッシングメールへの返信など、リスクの高い行動を取ろうとしている瞬間に、リアルタイムの介入やナッジによる支援を行うことも検討しましょう。インテリジェントなセキュリティツールを活用すれば、疑わしいメールや悪意のあるメールにバナーを表示し、従業員にリスクを警告することができます。

受信メールでは、アカウント乗っ取りやなりすましの危険性についてバナーで警告できます。送信メールでは、ユーザーが間違ったアドレスにメッセージを送信しようとしたり、間違ったファイルを添付しようとしたりした場合に、バナーで警告できます。このような介入は、セキュリティ侵害を未然に防ぐだけでなく、特定のアクションがなぜフラグ付けされたのかをユーザーに理解してもらうのにも役立ちます。

IT 部門がセキュリティ意識向上とトレーニングのための新しい戦略を更新または確立することを計画している場合、TechRepublic Premium の専門家が、開始するためのポリシーを提供します。

Tagged:

Related News