個人にとっても企業にとっても、サイバー犯罪のリスクは上がり続けています。サイバー攻撃が増え続け、複雑さも増す中で、サイバー意識向上およびサイバーセキュリティトレーニングの必要性がこれまでになく高まっています。サイバーセキュリティトレーニングの対象となるのはITスタッフだけではありません。テクノロジーを利用するすべての人にサイバー犯罪の標的となる可能性があるため、トレーニングを提供して意識を高めておくと有益です。
サイバーセキュリティトレーニングとは
一般に、サイバーセキュリティについて学ぶ最適な方法はトレーニングです。サイバー意識向上およびサイバーセキュリティトレーニングを実施することで、機密データの安全を確保するためのベストプラクティスについてメンバーの知識を深めることができます。通常、サイバーセキュリティトレーニングでは、コンピューターシステムのリスクに対処し管理するための対応手順をカバーします。受講者は、サイバー攻撃、データのハッキング、フィッシングアクティビティなどの脅威を検知する方法や、リスクのレベルを評価する方法、インシデントを報告する方法、インシデントに対処する方法などを学びます。
サイバーセキュリティトレーニングは、サイバーセキュリティ人員の準備にあたって欠かせない要素であり、受講者は脅威を取り巻く最新の状況に遅れずについていけるようになります。一部の組織では、サイバーセキュリティトレーニングを利用して、サイバーセキュリティの実践に関するポリシーの開発をサポートすることもできます。
サイバーセキュリティトレーニングでカバーする内容
デジタル環境の急速な変化と平行して、サイバー犯罪者もイノベーションを進めています。従業員やその他のエンドユーザーは、オンラインで安全を確保する方法や自分の情報を保護する方法についてのトレーニングを定期的に受講する必要があります。
サイバー意識向上およびサイバーセキュリティトレーニングの一般的な内容:
- フィッシング攻撃 – その検知方法と報告方法
- リムーバブルメディア – その安全な使用方法
- パスワードと認証 – 強力なパスワードの作成方法と多要素認証の導入方法
- 物理的なセキュリティ – 物理的デバイスとドキュメントの安全を確保する方法
- モバイルのセキュリティ – モバイルデバイスを安全に、セキュリティを維持して使用する方法
- リモートワーク – リモートワーク中に安全を維持する方法(公衆Wi-Fiのリスクを含む)
- クラウドのセキュリティ – クラウドベースのアプリケーションを安全に使用する方法について従業員を指導
- ソーシャルエンジニアリング – 悪意のあるアクターがよく利用するテクニックと、心理学的な影響
- データとレコードの管理 – 会社のデータを監視して安全に管理する方法
- インストールプロトコル – サードパーティのアプリケーションやソフトウェアプログラムを会社のコンピューターに安全にインストールする方法
- アラートへの対応手順 – コンピューターシステムのリスクへの対処と管理
- コンプライアンス – 自社の業界や法域における規制環境と、それがサイバーセキュリティに意味することへの理解の促進
サイバーセキュリティのキャリアを志す人については、キャリアパスに応じてトレーニングの内容は異なります。サイバーセキュリティの専門家はさまざまな業界のさまざまな規模の企業に所属し、扱うネットワークの複雑さもさまざまです。
サイバーセキュリティトレーニングが重要である理由
サイバーセキュリティ侵害の95%は人的ミスに起因すると推定されています。企業のデジタルセキュリティを担うのは、所属先がIT部門かどうかを問わず一人ひとりの従業員です。従業員がよくしてしまう、デジタルセキュリティの侵害につながるミスには次のようなものがあります。
- マルウェアに感染した添付ファイルをダウンロードする。
- 信頼できないWebサイトにアクセスする。
- ぜい弱なパスワードを使用する。
- パスワードを定期的に更新しない。
- メールの送信先をうっかり間違える。
人的ミスの幅広さを考えると、サイバー意識向上およびサイバーセキュリティトレーニングは極めて重要です。サイバーセキュリティトレーニングには次のようなメリットがあります。
情報漏えいやフィッシング攻撃のリスクを軽減する
組織内でのサイバー意識向上により、情報漏えいのリスクを軽減できます。個々のメンバーがトレーニングを受けて、潜在的なリスクやその対応策を認識できるようになると、フィッシングなどの攻撃の被害を受けにくくなります。情報漏えいによる被害総額が平均数百万ドルにのぼるということを考えると、サイバーセキュリティトレーニングはコスト効率が優れています。
セキュリティ重視の文化を構築する
サイバーセキュリティトレーニングの主な目的は、組織内にセキュリティ重視の文化を浸透させることです。セキュリティ重視の文化とは、会社の組織内にセキュリティの価値を埋め込むことで、従業員がソーシャルエンジニアリングなどの脅威に対する防衛の最前線になることを意味します。
サイバー脅威に対する技術的な防衛力を強化する
テクノロジーによる防衛は、侵害を阻止するうえで重要な武器となりますが、運営には人間の介入が必要です。たとえばファイアウォールの場合、オンに切り替えて、ソフトウェアをアップデートし、セキュリティ警告を確認する必要があります。ほとんどの組織はテクノロジーによる防衛なしには運営できませんが、テクノロジーの防衛力をフルに発揮させるためには、サイバーセキュリティおよびサイバー意識向上トレーニングをスタッフに提供する必要があります。
顧客に安心を届ける
消費者の間でサイバー脅威の認識がますます高まっていることから、守られているという安心感が期待されています。つまり、企業が顧客からの信頼を得るためには、サイバーセキュリティに真剣に取り組む必要があります。顧客からの信頼は、顧客のロイヤルティの醸成につながります。ある企業で情報漏えいやセキュリティインシデントが発生し、それが一般に知られると、その企業の評判が低下する可能性があります。
規制コンプライアンス
業界と法域の両方によっては、サイバーセキュリティに真剣に取り組むことを企業に義務付けるべき規制上の理由があります。規制当局が特定の業界に対し、サイバーセキュリティ意識向上トレーニングの実施を義務付けている場合があります。サイバーセキュリティトレーニングを提供する理由がコンプライアンスだけであるべきではありませんが、適切なトレーニングを導入することで組織はセキュリティを強化でき、多くの業界で規制要件となっています。
企業としての責任と社会的責任を行動で示す
サイバー攻撃はあっという間に広がります。感染したネットワークが増えれば増えるほど、他のネットワークはより多くのリスクにさらされることになります。1つのネットワークの脆弱性が、他のネットワークに対する全体的な脅威を高めます。つまり、1つの組織がセキュリティ意識向上トレーニングを怠ると、他の組織に脆弱性をもたらします。結局のところ、セキュリティ意識向上トレーニングはその組織だけではなく、組織のネットワークに相互リンクされた顧客やサプライヤーを含むすべての関係者にとってのメリットとなるのです。
サイバーセキュリティを構成する主要な要素
サイバーセキュリティには、以下を含む複数の主な構成要素があります。
- アプリケーションセキュリティ
- 情報セキュリティ
- 災害復旧プラン
- ネットワークセキュリティ
- エンドユーザーセキュリティ
- 運用上のセキュリティ
これらの各要素は、組織のインフラストラクチャのさまざまな領域を表しており、それぞれ独自の保護を必要とします。
アプリケーションセキュリティ
アプリケーションセキュリティは、ソフトウェアアプリケーションを脅威から保護することに主眼を置きます。これはとりわけ、アプリケーションやクラウドサービスを開発・販売している企業で顕著ですが、より幅広く企業全般に当てはまります。
適切に構成されていないセキュリティ設定は、クラウドアカウントからの情報漏えいの大きな原因となります。企業が主要クラウドサービスを使用するときに、セキュリティ設定を既定値からカスタマイズする必要があることを見落とす場合もあります。
クラウドアプリケーションの設定ミスは、主に次のようなことに起因します。
- クラウドセキュリティポリシーに対する意識の欠如
- 適切なコントロールと監督の欠如
- インターフェイスが多すぎて効率的に管理できない
- 内部者の無頓着なふるまい(ユーザーエラーなど)
多要素認証や管理権限コントロールの設定といった対策は、サイバー意識向上の重要な側面であり、アプリケーションセキュリティの強化やアプリの侵害防止に役立ちます。
情報セキュリティ
情報セキュリティとは、会社のデータや顧客、クライアント、ベンダーから収集したデータを保護することを意味します。
ほとんどの組織は情報セキュリティ規格を遵守する必要があり、過失によって個人を特定できる情報が漏えいした場合は、コンプライアンス不履行に対する罰則が科されます。
サイバーセキュリティで重視されるのは、組織がデータをどのように収集し、保管し、送信するかです。サイバーセキュリティプランでは、データが必要に応じて暗号化され、漏えいが発生しないよう保護されていることを保証する保護策の導入を目指します。
災害復旧プラン
サイバー攻撃の被害にあった小規模企業の60%は、その後閉業しています。その列に加わらないためには、災害復旧プランを策定しておくことが重要です。
災害復旧の保護策には、一般に次のものが含まれます。
- 侵害またはマルウェア感染を防止するための戦略
- 攻撃が行われた後でできるだけ早く復旧するための準備
サイバーセキュリティ専門家が導入する対策には、バックアップおよび復旧システム、インシデント対応訓練、強力なエンドポイント保護などがあります。
ネットワークセキュリティ
ネットワークセキュリティの目的は、組織の物理的ネットワークとそこに接続されたすべてのデバイスを保護することです。ほとんどの企業は、送受信するトラフィックを監視して脅威を検知するために、ファイアウォールを使用しています。
ネットワークセキュリティのその他の要点としては、ワイヤレスネットワークのセキュリティを強化することや、すべてのリモート接続を暗号化された方法で行うことなどがあります。
ネットワークセキュリティは、承認されたユーザーのみがネットワークにアクセスでき、ネットワーク内では侵害を示唆する疑わしいふるまいは行われないように設計されています。
エンドユーザーセキュリティ
エンドユーザーセキュリティはエンドポイントセキュリティとも呼ばれ、ユーザーが使用するデバイスまたはユーザー自身を保護することを意味します。サイバー攻撃の多くがフィッシングメールから始まることを考えると、エンドユーザーセキュリティの重要さがわかります。
エンドユーザー保護の一般的な内容:
- デバイスを最新の状態に維持する
- 最新のアンチウイルスソフトウェアを使用する
- DNSフィルタリングにより、悪意のあるWebサイトをブロックする
- ファームウェア保護により、侵害をファームウェアのレイヤーで阻止する
- パスコードで保護されたスクリーンロック
- リモート管理とデバイスの検出
エンドユーザーセキュリティを実践していない組織は、保護されていない従業員のデバイスがマルウェアに感染し、会社ネットワーク全体に感染を撒き散らすことによる侵害に苦しめられる可能性があります。
デバイス保護を別にすると、サイバーセキュリティトレーニングはエンドユーザーセキュリティの中核的な要素です。フィッシングメールの検知やパスワードセキュリティ、機密データの取り扱い、その他のサイバー衛生の原則に関するトピックについて、従業員向けのトレーニングを定期的に行うことが推奨されます。
運用上のセキュリティ
運用上のセキュリティでは、組織のセキュリティ戦略全体をレビューすることにより、すべてのセキュリティ戦術が運用を通じて矛盾なく適切に連携していることを確認します。
運用上のセキュリティは、すべてのITセキュリティプロセスをカバーする包括的な概念です。侵害を受ける可能性があるすべての領域でセキュリティが維持されていることを確認するとともに、最新の脅威やセキュリティの進化に後れを取らないよう、セキュリティ戦略を定期的に更新します。このプロセスの一環として、攻撃者の視点で考え、テクノロジー環境のさまざまな領域を精査して、潜在的な侵害が発生する可能性がある領域を見極めます。
[IMAGE 3]
cybersecurity-training-910714610
alt= “a man taking online cybersecurity training”
サイバーセキュリティに着手する方法
サイバーセキュリティ関連のキャリアの多くは、へスプデスク担当者やネットワーク管理者、ソフトウェア開発者といったエントリーレベルのIT職から始まります。多くのサイバーセキュリティ専門家は、IT部門でしばらく経験を積んだのち、情報セキュリティのジュニアアナリストとしてキャリアをスタートします。
サイバーセキュリティ職に就く前に、プログラミング、ネットワーク、システム管理者、クラウドコンピューティングといった基本的なITスキルを磨いておくことが重要です。一般的には、体系化されたトレーニングを受講することが、サイバーセキュリティ職の獲得に向けた近道になります。
サイバーセキュリティのキャリアには、個人の興味や目標に応じてさまざまな方向性があります。ここでは、サイバーセキュリティの専門家が専門性を高める方法をいくつかご紹介します。
エンジニアリングとアーキテクチャ
セキュリティエンジニアは、脅威と脆弱性に関する知識を駆使して、多岐にわたるセキュリティ上の懸念に対する防衛システムを構築して実装します。セキュリティエンジニアの次のステップとしては、組織のセキュリティ基盤全体に対する責任を担うセキュリティアーキテクトがあります。この職務で必要なスキルには、次のようなものがあります。
- 批判的思考
- ITネットワーク
- システム管理
- リスクアセスメント
インシデント対応
サイバーセキュリティ対策に多大な労力を費やしているにもかかわらず、いまだに多くの企業がセキュリティインシデントの犠牲になっています。インシデント対応の分野では、セキュリティインシデントが発生した後でとるべき手順に注目します。インシデント対応の担当者は、組織のネットワークを監視し、侵害が発生した場合には脆弱性を修正して損害を最小限に抑えるために尽力します。
その他に、デジタルフォレンジックとサイバー犯罪も扱います。デジタルフォレンジックの調査では、法執行機関と連携しながら、デジタルデバイスからデータを復旧させ、サイバー犯罪を調査します。この職務で必要なスキルには、次のようなものがあります。
- テクニカルライティングと文書作成
- 侵入検知ツール
- フォレンジックソフトウェア
- 細部への注意
マネージメントと管理
サイバーセキュリティマネージャーは、組織のネットワークとコンピューターセキュリティシステムを監督します。これらの職には、より経験豊富な人材が就く傾向があります。サイバーセキュリティマネージャーはセキュリティチームを管理し、チーム間の調整を行い、セキュリティコンプライアンスを確保します。一般に、組織で最高位のセキュリティ職となるのは最高情報セキュリティ責任者(CISO)です。経営幹部のレベルでセキュリティに携わるということは、企業のセキュリティ基盤全体の運用、ポリシー、予算を管理することになります。この職務で必要なスキルには、次のようなものがあります。
- プロジェクト管理
- リスク管理
- リーダーシップ
- コラボレーション
コンサルティング
多くの組織は、コンピューターやネットワークシステムの脆弱性やセキュリティリスクをテストするために、セキュリティコンサルタントを利用します。この職務では、システムの脆弱性をテストすることによりサイバーセキュリティの攻撃側と防衛側を演じ、システムを強化する方法について提案します。この職務で必要なスキルには、次のようなものがあります。
- ペネトレーションテストと脆弱性テスト
- 脅威管理
- オペレーティングシステム
テストとハッキング
サイバーセキュリティのこの分野には、オフェンシブセキュリティ、レッドチーム、ホワイトハットハッキング、倫理的ハッキングなど、さまざまな名称があります(さまざまなタイプのハッキングについてはこちらをお読みいただけます)。オフェンシブセキュリティの担当者は、サイバーセキュリティに予防的なアプローチをとります。そのために、侵入者を演じて、実際のハッカーに見つけられる前に脆弱性を特定しようと試みます。ペネトレーションテスターは、システムの脆弱性を特定して悪用することで、企業がよりセキュリティの高いシステムを構築できるよう貢献します。倫理的ハッカーは、さらに多くの攻撃ベクトル(ソーシャルエンジニアリングなど)を試すことで、セキュリティの脆弱性を明らかにします。この職務で必要なスキルには、次のようなものがあります。
- 暗号学
- ペネトレーションテスト
- コンピューターネットワーク
- スクリプト
サイバー攻撃の種別
サイバー攻撃の一部を挙げると、次のようなものがあります。
- フィッシング:この攻撃では、信頼できる送信元からのメールを装う詐欺メールが送信されます。その目的は、ログイン情報や支払い情報といった機密情報を盗むことです。
- マルウェア:コンピューターやネットワークに不正にアクセスして損害を与えようと試みる、悪意のあるソフトウェアです。
- ランサムウェア:マルウェアと似ていますが、被害者が身代金を払うまでコンピューター上のファイルへのアクセスをブロックすることを意図したものです。
- DDoS:分散型サービス拒否(DDoS)攻撃では、サイバー犯罪者がシステムのリソースに大量のリクエストを送りつけて、システムが正しく機能しないようにします。
- SQLインジェクション攻撃:データベース駆動型Webサイトを舞台とした攻撃で、ハッカーは標準のSQLクエリを操ります。この攻撃では、脆弱性のあるWebサイトの検索ボックスに悪意のあるコードを注入することにより、サーバーに重要な情報を開示させます。
- クリプトジャッキング:この攻撃では、攻撃者が他人のコンピューターにアクセスして暗号通貨のマイニングを行わせます。
- ゼロデイエクスプロイト:この攻撃では、攻撃者がパッチのまだ適用されていない既知のセキュリティ脆弱性を悪用します。
- インサイダー脅威:外部の者は関与せず、内部の者が関わる脅威です。たとえば、組織について豊富な知識を持つ組織内の人物かもしれません。インサイダー脅威は甚大な被害をもたらす可能性もあります。
サイバーセキュリティに対する理解
米国では2004年から、大統領と連邦議会が10月をサイバーセキュリティ啓発月間としています。この目的は、サイバー脅威が拡大している中で、人々がオンラインで自分の身を守れるように支援することです。米国ではCybersecurity and Infrastructure Security Agency(CISA)とNational Cybersecurity Alliance(NCA)が政府や産業界と協力して、米国と全世界でサイバーセキュリティの意識を向上するために取り組んでいます。
サイバー攻撃への対応のベストプラクティス
企業はサイバー攻撃にどのように対応すればよいのでしょうか。ここでは、詳細な手順を説明します。
ステップ1:対応チームを関与させる
攻撃が確認された場合、企業がまず初めにすべきことは、できるだけ早急にIT基盤のセキュリティを確保することと、サイバーセキュリティ対応チームを出動させることです。このチームが最初に行うべき作業は、攻撃の発生源とその原因を突き止めることです。組織のリソース状況に応じて、このチームが社内に設置されている場合も、外部チームの場合もあります。重要なのは、証拠がまだ新鮮なうちに素早く動き、作業を開始することです。
ステップ2:攻撃の種類を特定する
サイバー攻撃の種類を特定することで、サイバーセキュリティ対応チームは適切な措置を講じることができます。発生している攻撃の種類がわかれば、リソースを効果的な場所に集中させ、攻撃を封じ込めて復旧することができます。
ステップ3:脅威を封じ込める
攻撃の種類が特定されて確定したら、次のステップでは脅威を阻止して、さらなる被害が発生しないようにします。ほとんどのパッシブ攻撃は、攻撃者に組織のシステムへの永続的なバックドアを提供するように設計されているため、データが長時間にわたって流出し続ける可能性もあります。このため、攻撃者がシステムに対して持つ可能性があるすべてのアクセス権を特定して無効にすることが重要です。
ステップ4:関連当局に報告する
攻撃の規模と性質によっては、インシデントを地域の法執行機関に報告する必要があります。報告が早ければ早いほど、法執行機関が打てる手が多くなります。業種や法域によっては、特定の当局や業界団体への報告が必要になるかもしれません。サイバー保険に加入している場合は、保険会社にできるだけ早く連絡する必要があります。
ステップ5:影響を受けた当事者に連絡をとる
攻撃によって顧客データに影響があった場合は、顧客に通知する必要があります。起こったことを可能な限り率直に、包み隠さず知らせることが重要です。協業している他の企業にも影響がある場合は、連絡を取り合う必要があります。サイバー攻撃が発生すると、評判に大きなダメージを受ける可能性があります。そのため、広報の担当者と協力して、最も効果的なコミュニケーション方法を判断し、インシデントがPRに与える影響を管理することが推奨されます。
サイバーセキュリティトレーニングコース
サイバーセキュリティについて学ぶには、サイバーセキュリティトレーニングが役に立ちます。脅威を取り巻く状況は絶え間なく進化しているため、ITセキュリティの専門チームと社内の他チームの両方がスキルを絶え間なくアップデートする必要があります。カスペルスキーは従業員向けにオンライントレーニングを提供しており、効果的な脅威検知戦略と緩和戦略について学べます。
これらのコースは自宅から受講でき、専門家によって制作されています。こうした専門家は、毎日遭遇する350,000種以上のマルウェアサンプルが呈する脅威に対処する方法や、今日のサイバー環境に実際に潜む、絶えず変化する危険と戦いを繰り広げている人にその知識をシェアする方法を理解しています。
スキルを伸ばしたい情報セキュリティ専門家にも、SOCやインシデント対応チームに投資しようとしているチームマネージャーにも、これらのコースはお役に立つはずです。カスペルスキーによるサイバーセキュリティのオンライントレーニングについて詳しくは、こちらをご覧ください。
他の読み物: