ランサムウェアをはじめとするサイバー攻撃は、中堅・中小企業も標的となっています。しかし、一度のセキュリティ事故が甚大な被害をもたらす時代となり、多くの企業がセキュリティの重要性を認識しているにもかかわらず、事故やインシデントは後を絶ちません。その背景には「人」のリテラシーという課題があります。セキュリティ教育サービスを展開する株式会社ソースポッド 代表取締役社長 山本 剛 氏(写真)に、中堅・中小企業におけるセキュリティ対策の実態と、効果的なトレーニングのあり方を聞きました。
●中堅・中小企業におけるサイバーセキュリティの現状
―― 中堅・中小企業におけるサイバー攻撃の現状と、その対策について教えてください。
山本剛氏(以下、山本):ランサムウェアは企業規模に関係なく被害に遭いやすく、実際に中小の組織でも多くの感染事例が報告されています。
最近ではAIを用いた攻撃も当たり前になっています。例えば、以前の標的型攻撃メールは明らかに日本語が不自然な箇所があり、危険性にすぐ気づけるものが多くありました。ところが今では、生成AIの力を借りて自然な文章を送りつけてくるため、よく気をつけなければ見分けることが難しいです。
残念ながら、防御側よりも攻撃側が先行する構図はAI時代も変わりそうになく、“いたちごっこ”の状態は今後も続くと見ています。
セキュリティ対策の現状はまちまちですが、興味深いのが、対策の必要性を感じていながら適切な対策を講じられていない企業が多いことです。当社が従業員数300名以上2,000名以下の企業の社員・役員を対象に実施した調査では「情報セキュリティを重要視している」という回答が全体の約92%に上る一方で、同じ調査対象の約67%が事故やインシデントを経験していることが明らかになりました。
●「人」のリテラシー向上が不可欠
―― 調査で判明した意識の高さと対策実態のギャップについて、どのような要因が考えられますか。
山本:この調査結果では、事故やインシデントの発生原因として「人的ミス」と「従業員のセキュリティ意識の低さ」が上位を占めました。
これには即効性のある“特効薬”があるわけではないため、高い意識とのギャップが現れてしまいます。例えば標的型攻撃メールの訓練は、1回だけ実施したのでは不十分です。継続的な取り組みによって習慣化することが重要です。
IPA(情報処理推進機構)が発表する「情報セキュリティ10大脅威」で挙げられている脅威でも、その約7割は人のリテラシーが高ければ防げるものです。逆に言えば、人で防げる部分を防げていないのが現状だと言えます。
多くの企業では対策としてシステム導入を選びますが、それだけで脅威やミスを100%防ぐことはできません。システムをすり抜けてきた脅威に対して最後の砦となるのは「人」であり、そのためにもリテラシー向上が欠かせません。組織の1人ひとりに“自分事”としてセキュリティと向き合ってもらい、リテラシーを底上げする必要があります。
● 漫然と実施するeラーニングの効果は限定的
―― 「人」の対策としてトレーニングを実施するわけですが、調査では、大多数の企業が手段としてeラーニングを活用していることがわかりました。それにもかかわらず、まだ「人」に課題があるのはなぜでしょうか。
山本:「実践的」という観点で、そのeラーニングで十分なコンテンツが提供されていない可能性が考えられます。ビジネスマナーなどのコンテンツを含む総合的なeラーニングサービスには一般的なセキュリティ対策のコンテンツも含まれていますが、その量と質・アップデートスピードは十分なものではなく、どうしても効果が限定的になってしまいます。
当社の調査結果では、セキュリティトレーニングで最も重要だと感じることとして「内容が実践的であること」が最多でした。長年にわたりセキュリティ対策に従事してきた者として、大いに同意します。
―― 実践的なコンテンツを含むeラーニングの実施が必要だということでしょうか。
山本:それと併せて、標的型メール訓練も実施するとより効果が大きくなります。訓練は実体験として記憶に残るため、特に課題を感じた参加者の意識が大きく向上するのです。
また、訓練結果を分析することで、どの部署やどんな属性の人に課題があるか、どこを強化する必要があるかが浮き彫りになり、より実践的な訓練へとつなげることが可能になります。
● 訓練と教育の両輪でPDCAを回すことが重要
―― 標的型メール訓練を実施している企業では、eラーニング実施企業よりも効果を実感しており、実際に事故・インシデント経験率が低いという結果が出ています。
山本:標的型メール訓練とは、実際の攻撃メールを模したメールを従業員に送信し、それを開封するかどうかをチェックして、開いてしまった人には警告メッセージを表示する、というものです。
これ単体でも有効性は高いですが、ここに実践的な内容のeラーニング教育を組み合わせることで、インシデント率のさらなる低下を見込めます。この訓練と教育の両輪で推進していくことが重要なのです。
トレーニングを行う際は、初めに目標や指標を明確にします。これは現状が把握できていることが前提なので、まずは訓練を実施して現在抱えているリスクを可視化するのもよいでしょう。
例えば、50%がクリックしているという結果が出れば、翌年度は10%に下げるという目標を設定できます。それに対してどういった教育コンテンツが必要かを検討し、トレーニングを実施。そして結果を評価し、頻度や内容を見直す、というプロセスを繰り返していきます。
―― どの程度の実施頻度が効果的でしょうか。
山本:毎月の訓練が理想的ですが、問い合わせ対応を含む運用の負担を考慮すると、現実的ではない企業が多いでしょう。当社の経験上、訓練は年4回実施すると効果が大きく変わってきます。それも難しい場合には、回数を抑えつつも、ぜひ「継続」は欠かさないでいただきたいですね。
● 企業の実情に合わせた対策を業界最安値で始められる
―― ソースポッドの「人的情報セキュリティ対策サービス」とは、どのようなものでしょうか。
山本:セキュリティトレーニングで最も重要なのは継続性です。そのため、企業が継続的に実施できるように、「SPC 標的型メール訓練」は100通月額3,000円から、情報セキュリティ教育コンテンツ「SPC Literacy+」は1アカウント月額100円からと、業界最安値レベルで提供しています。
もちろん内容も重視しています。「SPC 標的型メール訓練」のテンプレートは国内最多の300種類以上を用意し、随時アップデートしていますので、年間を通じて異なる最新パターンの訓練を実施可能です。
レポートの自動生成機能もあるので、運用の負担を抑えることもできます。リソースが限られている企業には運用代行サービスも提供し、PDCAサイクルを継続的に回せるよう支援します。
「SPC Literacy+」では155種類以上の情報セキュリティ教育コンテンツを用意し、さまざまなカテゴリーのコンテンツを何度でも受講できるコース教育のほか、「ほとんど時間を取れない」という声に応えて、無理なく継続可能な1回5分で完結するコンテンツも用意。短時間で従業員が“自分事”として捉えやすい最新のインシデント事例を取り上げ、原因と対策を身近に感じてもらい、効果を出していきます。
近年は、海外展開されている企業向けに、多言語の標的型メール訓練や情報セキュリティ教育コンテンツも提供しています。
セキュリティトレーニングの最適な質と量のバランスは企業ごとに異なります。当社はこれから始める企業と、効果をより高めたいとお考えの企業の双方に対して、検討段階からアドバイスやフォローアップを行っており、コストに応じたプランの提示も可能です。ぜひお気軽にご相談ください。
