8,000万円のハイフンの話を聞いたことがありますか？アメリカの宇宙開発の黎明期に、プログラムのミスが発見され、ロケットの墜落による怪我を防ぐために打上げ直後に強制的に破壊したことがありました。また、モントリオールからエドモントンまでのフライトで、必要な燃料をパイロットが間違えてしまったこともありました。これらはいずれも、ヒューマンエラーが重大な結果をもたらす致命的な例です。

ハイパーコネクテッドワールドでは、私たちのミスが重大な結果をもたらすことがあります。コンピュータウイルスの黎明期である1999年のマクロウイルス「メリッサ」のように、被害が軽微な場合もあります。しかし最近では、2017年にランサムウェア「WannaCry」が世界的に発生した結果、国民保健サービス（NHS）の大半の業務が中断してしまったように、被害がより大きな影響を及ぼすことがあります。その際のミスは、政府が持つ秘密のツールの取り扱いを誤って、一般に流出させてしまったことです。

ヒューマンエラーに対抗する最善の方法は、トレーニングとアウェアネスです。しかし、多くの人は、セキュリティアウェアネストレーニングを退屈で、無意味、不要なものと考えています。ほとんどの人は、「自分は絶対に詐欺に遭わない」と自信を持っています。悲しいことに、これは多くの被害者に共通する言葉です。このような誤った考え方をしていると、「ヒューマンエラーを減らすにはどうしたらいいのか」「誰が意識を高めることができるのか」と真剣に考えてしまいます。

セキュリティ実務者の問題意識

セキュリティ実務者は、詐欺師がシステムをコントロールするために使用する攻撃ベクトルを理解するための特別なトレーニングを受けています。システムへの悪用は様々な形で、可能な全ての手段が使われます。詐欺師たちは、成功するまでそれぞれの方法を試します。しかし、どんなに技術的に優れたメカニズムであっても、攻撃のほとんどは人間を騙すことに依存しています。

セキュリティ実務者の仕事の1つは、これらの攻撃ベクターに対抗するための技術的なコントロールを理解し、適用することです。その上で、セキュリティ実務者は、組織のセキュリティ意識を高めるためにどのような方法があるのかを知っています。

すべてはリスクの理解から始まる

セキュリティ実務担当者は、リスクを理解しています。米国標準技術研究所（NIST）が作成した正式なフレームワークであろうと、他の多くの出版物であろうと、セキュリティ実務者はリスク評価チームの重要な一員です。リスクマネジメントの訓練を受けていない人は、ビジネスに無関係で現実に即していないシナリオを提示して、アセスメントを頓挫させてしまうことがあります。セキュリティ実務者がリスク評価会議に出席するかしないかは、よく練られた計画を議論するのか、妄想について議論するのかの違いを意味します。

適切なアクセスコントロールは、攻撃が成功するか失敗するかの分かれ目となります。

誰が重要なシステムにアクセスできるのか？アクセス権を持つすべての人が、適切なレベルのアクセス権を持っているか？組織を離れた人からシステムへのアクセスは削除されたか？これらの質問はすべて、セキュリティ実務者が答えることができるものであり、さらに重要なことに、セキュリティ実務者はそれを実行するためのスキルを持っています。アクセスコントロールを慎重に適用することで、標的型攻撃の被害を低減することができます。

また、スタッフに適切なセキュリティ意識のトレーニングを行うことで、アクセスコントロールの概念の重要性を高めることができます。そのためには、システムへのアクセスを監視することは、セキュリティチームだけの責任ではないことを、マネージャーは知っておく必要があります。スタッフがシステムへの適切なレベルのアクセス権を持っていることを確認するために、全員がステークホルダーあることを知るべきでしょう。

優れたセキュリティ運用で攻撃対象を最小化

セキュリティオペレーションは、優れたアクセスコントロールの実践とともに、ネットワーク上の活動をコントロールするために不可欠な要素です。 ある職務から別の職務に移っても、以前の職務での権限が残っているという「権限クリープ」の問題は、その人のアカウントが狙われた場合に大きな被害をもたらします。ネットワークセグメンテーション、ポートフィルタリング、モバイルデバイス管理のすべてが、徹底した防御戦略に必要な要素です。スタッフがセキュリティ意識の高いトレーニングを受けていれば、これらの対策はより意味のあるものとなり、もはや不必要で不便なものとして扱われることはありません。

組織のための正しいセキュリティアウェアネストレーニング

セキュリティアウェアネスの活動では、スタッフのため息や抵抗感を感じることがよくあります。リスクアセスメントが特定のビジネスに合わせて行われる必要があるように、特定の種類のセキュリティアウェアネスプログラムの選択は、トレーニングキャンペーンの成功と失敗の鍵を握ります。セキュリティアウェアネスのための専門的なトレーニングには、いろいろなものが用意されています。従来のクイズ形式のエンジンに加えて、フィッシングのシミュレーションができるものもあります。最近では、セキュリティの「エスケープルーム」演習など、クリエイティブなアプローチも行われています。セキュリティ実務者は、これらのサービスを評価し、どのサービスが組織にとって最適かを判断する能力があります。。時には、自分で作ったものと、プロが企画したプレゼンテーションを組み合わせることが、正しい解となります。

姿勢とエンゲージメントが重要

危機的状況では、クライアントの理解レベルに合わせて、特に思いやりを持って接することが最も重要です。訓練されたセキュリティ実務者は、危機に瀕したときに自信を持って対応できるスキルがあります。セキュリティ実務者は、イベントが発生した場合、何が起こったのかを説明し、問題を修復してビジネスを正常に戻すための手順を提示できます。熟練したセキュリティ実務者は、スタッフがリスクに晒されており、リスクそのものではないことを理解しています。

人的要素が重要

情報資産の保護において、ビジネスにとって最も価値のある資産である「人的要素」を考えることが最も重要です。スタッフを守ることは、組織が成功するための最重要課題です。スタッフを守るものは、物理的なロックやドアだけではありません。教育は、組織の全体的なセキュリティポスチャーを構成する要素です。スタッフがセキュリティアウェアネスを高めるためのトレーニングを受けると、その効果は組織の壁の中だけにとどまりません。ほとんどの人は、学んだことを覚えていて、それを個人の生活に持ち込んでいきます。このような反応は、組織にとってのトレーニングの価値を高めます。企業のセキュリティエバンジェリストであるセキュリティ実務者は、トレーニングプログラムの価値を高めます。

企業内でセキュリティのエバンジェリストとなる方法については、ホワイトペーパー「How You Can Become a Cybersecurity Hero」をお読みください。

SSCP資格がどのように役立つか

Systems Security Certified Practitioner （SSCP）資格を取得すること以上に、自分の技術的なスキルとセキュリティの知識をアピールする方法はありません。経験豊富なセキュリティ専門家であれ、サイバーセキュリティの魅力的な世界に足を踏み入れたばかりの方であれ、ISC2SSCP認定資格は、あらゆる組織の機密性、完全性、可用性を確保するセキュリティ手順および管理を実装、監視、管理する能力を高めるための理想的な方法です。

原文記事： https://blog.isc2.org/isc2_blog/2021/02/addressing-the-human-element-of-security-awareness-training-programs.html