アリバイ作りではない「本気で」社員のセキュリティ意識向上を図りたい管理者のために~ KnowBe4社が講演 | ScanNetSecurity
2022.11.28(月)

アリバイ作りではない「本気で」社員のセキュリティ意識向上を図りたい管理者のために~ KnowBe4社が講演

単にアリバイを購入したいだけの志の低い企業が KnowBe4 を利用すると痛い目にあいかねないかも。KnowBe4 は企業に対して、変化や成長の必要性を突きつけてくるサービスであり、互いに目配せして本質からそろって目をそらす「ぬるま湯」的セキュリティ研修と本質的に異なる。

研修・セミナー・カンファレンス セミナー・イベント
PR
KnowBe4 Japan合同会社 営業統括本部長 ガブリエル・タン 氏
KnowBe4 Japan合同会社 営業統括本部長 ガブリエル・タン 氏 全 1 枚 拡大写真

 「FBIが恐れた伝説のハッカー」という、まるで映画のキャッチコピーのような異名を持つサイバー犯罪者がいて、名をケビン・ミトニックという。1963 年生まれの人物だが、まだ元気バリバリで、コロナ前は世界を講演で飛び回っており、日本にも何度も来日した。

 以前 Black Hat USA の関連イベントで、ケビン・ミトニックのワークショップを取材したことがあったが、魅力的かつ人を飽きさせないトークで、その人気もうなずける内容だった。ミトニックが標的とするのは「人間の脳ミソの脆弱性」で、攻撃手法はソーシャルエンジニアリングなどとも呼ばれる。

 10 月に東京と大阪で開催されるセキュリティカンファレンス「Security Days Fall 2022」において、KnowBe4 Japan合同会社の営業統括本部長 ガブリエル・タン氏が「サイバーセキュリティは取締役会で監査されるべき問題 なぜ、セキュリティ意識向上トレーニングが必要なのか?」と題した講演を 10 月 5 日(水)に行う。

 「KnowBe4」は「ノウ・ビフォー(Know before! :やられる前に知れ)」であり、セキュリティアウェアネストレーニングとフィッシング攻撃シミュレーションを組み合わせることで、騙されやすく、ときにうっかりミスもしてしまう人間の、習慣や認知などに潜む脆弱性、つまり最も対策が難しいとされる「人の脆弱性」に正面から取り組んでおり、国際的に見ても数少ない「専業」企業だ。

 ここで正直に言ってしまおう。アウェアネストレーニングなどのセキュリティ研修一般は、言葉を選ばずに言えば「ざんねんなセキュリティ」が少なくないことを。

 たとえばプライバシーマークの更新だったり、コンプラ要件等々、研修を実施したという「アリバイ」を購入するために行っているような研修もそこでは少なくない。実施する一定の意味はもちろんあるものの、根本的解決などとはハナから向き合うことを放棄しており、ただ年に何回か研修実施のアリバイを淡々と「納品」するのみ。こうした「ざんねんセキュリティ研修」と対極にあるのが KnowBe4 のサービスである。

 KnowBe4 は「フィッシング詐偽ヒット率(Phishing Prone Percentage:PPP)」という独自指標を創出、訓練と研修を重ねながら、この指標の増減と、増減のダイナミズムの詳細な分析を行う。研修・訓練・分析の 3 つを統合したプラットフォームこそ同社サービスのコアである。

 アリバイ販売業者のような志の低いセキュリティ研修サービスは「フィッシング詐偽ヒット率」などという、将来的に己(おのれ)の責任や成果を問われかねない数値をゆめゆめ計測するはずがない。トレーニングを複数回実施して数値が下がらなければ炎上するのは確実だし、セキュリティサービスの一番恐ろしいところは「現実から裁かれる」ことだから、たとえば極めて優秀な数値だったはずの人が業務中に複数回フィッシングの餌食になったりなどしたら、そもそもの研修コンテンツの質や、果てはプラットフォーム自体の妥当性や信頼性さえ揺らぎかねない。覚悟がなければ、こんな数値を指標として設定したり、継続的に計測したりはできない。つまり状況証拠的にもこの企業は信頼できる。

 だから逆に言えば、単にアリバイを購入したいだけの志の低い企業が KnowBe4 を利用すると痛い目にあいかねないかも。KnowBe4 は企業に対して、変化や成長の必要性を突きつけてくるサービスであり、互いに目配せして本質からそろって目をそらす「ぬるま湯」的セキュリティ研修と本質的に異なる。

 「監査」という言葉からも、その精神が伝わってくる。通常数字で把握できないものは監査することなど不可能であり、KnowBe4 のプラットフォームは、人が攻撃にさらされたとき、果たしてその従業員はどんな反応をするのか、騙されてしまうのか、それとも的確に判断して回避できるのかを、従業員一人一人単位で、あるいは組織単位で、そして会社単位で数値で明らかにすることができる。

 まだ貸借対照表のどこにも存在しない勘定科目だが、騙されにくく、ヒューマンエラーが相対的に少ない優秀な従業員を継続的に雇用し組織化できているということが、たとえば素晴らしい製品を製造したり、完成された流通網を持っていたり、たくさんの知的財産を保有していることと同様に、企業の競争力に結びつく無形の「資産」なのであるという、一歩進んだ価値提案がここにはある。

 おじさん世代には武田信玄の「人は城、人は生け垣、人は堀」と言えば通じるだろうか。実際に KnowBe4 は「ヒューマンファイアウォール(人的防御層)」という言葉も使っている。

 サイバー攻撃にさらされたとき「最も弱い鎖」のひとつが人間であるのは自明だが、それと同時に「最後の砦」「最後の希望」ともなりうるのが人間である。あなたの会社のスタッフを、帳簿に資産として計上したくなるような優秀な従業員に変えたいなら、絶対にこの講演は必聴である。

 最後に、取材で聞いた面白いエピソードを紹介して終わりにしよう。冒頭で挙げたケビン・ミトニックは KnowBe4 の取締役兼コンサルタントを務めている(“チーフハッキングオフィサー”という中2病的な肩書には苦笑を禁じ得ないが)。ミトニックが仕込んだ「人の悪い社員研修」が、KnowBe4 に入社すると 2 日目に行われるという。

 それは、まるで情報システム部門から送られたかのように偽装されたメールが新入社員に送付され、うっかり情シスと信用して多要素認証のパスワードを入力したら負けというテストだ。これにはほとんど全員が引っかかるという。そしてこの体験を通じて、アウェアネストレーニングの重要性を身をもって知るのだという。要は「環境の変化」「立場の低い新参者の身分」「権威者の登場」「緊急性の演出」というやつだ。

 入社 2 日目にまだ会社の諸手順に慣れないうちに、情報システム部門を騙るという、ケビン・ミトニックが設計したそんなソーシャルエンジニアリングの洗礼を受けたら、特に新入社員ならそりゃひとたまりもあるまい。聞いていて思わず笑ってしまった。

 この話から、失敗というものをネガティブにではなく「成長の糧」として考える風通しの良い社風や企業文化のようなものを感じたからここに記しておく。恥や恐怖で人を成長させることはできない。

10.5(水) 13:10-13:50 | RoomA
サイバーセキュリティは取締役会で監査されるべき問題 なぜ、セキュリティ意識向上トレーニングが必要なのか?

KnowBe4 Japan合同会社
営業統括本部長 ガブリエル・タン 氏

KnowBe4, Inc.
CEO ストゥ・シャワーマン 氏
Executive Vice President トニー・ジェニングス 氏

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 埼玉大学でドッペルゲンガードメイン「@gmai.com」に自動転送、約10ヶ月間続く

    埼玉大学でドッペルゲンガードメイン「@gmai.com」に自動転送、約10ヶ月間続く

  2. 「非対称パスワード認証」の実証に成功、パスワード漏えいの脅威を一掃

    「非対称パスワード認証」の実証に成功、パスワード漏えいの脅威を一掃

  3. 田沢医院にランサムウェア攻撃、電子カルテシステムが使用できない状況に

    田沢医院にランサムウェア攻撃、電子カルテシステムが使用できない状況に

  4. サイバー犯罪インテリジェンス企業 KELA社が日本で初めてワークショップ開催、アナリスト池上遥氏 登壇(CPEクレジット付与)

    サイバー犯罪インテリジェンス企業 KELA社が日本で初めてワークショップ開催、アナリスト池上遥氏 登壇(CPEクレジット付与)PR

  5. 契約に反し個人情報取扱事務を再委託、横浜市委託先でPC盗難被害

    契約に反し個人情報取扱事務を再委託、横浜市委託先でPC盗難被害

  6. 創価大学の教員のメールアカウントが迷惑メール送信の踏み台に、SMTP認証を悪用した攻撃と推測

    創価大学の教員のメールアカウントが迷惑メール送信の踏み台に、SMTP認証を悪用した攻撃と推測

  7. 庁内グループウェアへの不正ログインを繰り返した職員を戒告処分

    庁内グループウェアへの不正ログインを繰り返した職員を戒告処分

  8. 水道メータ取替業務 委託先社員、業務上知った個人情報もとにLINEで連絡

    水道メータ取替業務 委託先社員、業務上知った個人情報もとにLINEで連絡

  9. マイナポータルで確認し発覚、氏と生年月日同一 別人の個人番号等を住民記録システムに入力

    マイナポータルで確認し発覚、氏と生年月日同一 別人の個人番号等を住民記録システムに入力

  10. 8大詐欺ワードとは、VISAグローバル調査

    8大詐欺ワードとは、VISAグローバル調査

ランキングをもっと見る