みなさま、ゼロトラスト推進室に所属している土田と申します。

近年サイバーセキュリティ対策は企業にとって非常に重要な課題となっており、ネットワーク、エンドポイント、クラウド環境と挙げていくときりがありません。対策としてセキュリティ製品を導入されているかと思いますが、本日ご紹介するのは、Security Awarenessという「人」への教育にフォーカスしたものになります。

このブログでは、「Security Awarenessとは？」、「なぜSecurity Awarenessが必要なのか？」、「具体的に何をするのか？」について紹介いたします。

また昨今では「AI」を用いてのセキュリティ対策も注目されておりますので、Security AwarenessがどのようにAIを活用しているかについても少しご紹介させていただきます。

■Security Awarenessとは？

企業において従業員さまがサイバーセキュリティの脅威を理解し、適切な対策を講じることができるように教育・啓蒙することを指します。単にセキュリティ製品を導入し技術的な対策を講じるだけでなく、人的要因も重要なリスクもあることから従業員さまのセキュリティに対する意識を高めることが、組織全体のセキュリティに対する意識を上げて予防することが可能です。 

■なぜSecurity Awarenessが必要なのか？

法律や規制の強化も関係しており、従業員さまの教育を含む幅広いコンプライアンスを求めるようになったため、例えば個人情報保護法/第23条では「個人データの安全管理のために必要かつ適切な措置を講じなければならない。」とあり、これは従業員さまが個人情報を取り扱える知識と能力を持つように、トレーニングなどを実施することを含みますので、このような背景からも必要となってきています。

またサイバー攻撃の手法は年々巧妙化しておりフィッシングメールの作成をAIが行い、よりリアルな文面でメールを送り従業員さまが騙されてしまったり、パブリッククラウドで開発を行っている企業であれば、設定ミス一つで公開されてはいけない情報が、公開されてしまったりと、人的要因にて起こるセキュリティ事故が後を絶たないので必要になってきております。

■具体的に何を提供するのか

代表的に提供されるのは標的型メール訓練が多く、文面を作成する際にAIが活用されており、企業のリアルタイムの情報を調べ、その企業に合った最適なメールをAIが作成し配信するので、AI を利用しトレーニングすることにより本物に模した形でトレーニングを受けることが可能です。

その他にもランサムウェアやサイバー攻撃を受けて情報漏洩が発生してしまった際の初動の訓練などもあり、感染時の迅速な報告やどのように対応すべきかを訓練することも可能です。サイバー攻撃は企業の大きさ、従業員さまの数問わず全ての企業が対象となっている世の中ですので避難訓練のように練習しておくことで、万が一の場合に迅速に対処できることでしょう。

また訓練を実施して終わりではなく、その結果から組織/従業員さまがどんな傾向があるのかを分析し、学習コンテンツの配信も行い、e-learning、動画コンテンツ、クイズ形式等の様々な形で学習が可能です。

■まとめ

Security Awarenessは、企業がサイバー攻撃から自分たちを守るために欠かせない要素です。高度なセキュリティシステムを導入していても、人為的ミスがあれば被害を防げないので従業員さま一人一人が「セキュリティの最前線」であるという意識を持つことが、企業の安全を守る最良の方法です。

今回はメーカーについて紹介しておりませんが、SB C&SではAIをフル活用しセキュリティアウェアネスプラットフォーム提供している「AironWorks」を取り扱うことが決まりましたので、次回は「AironWorks」についてブログ記事でご紹介いたします。