セキュリティの最優先課題:エンドユーザのセキュリティ意識向上

「セキュリティの最優先事項」と名付けられたブログシリーズの今回は、オンボーディングからオフボーディングにかけて、継続的にエンドユーザのセキュリティ意識を向上させる方法について説明します。

July 19 2023 投稿者

Hannah Hamilton

Image of lightbulb surrounded by thought bubbles

2022年の夏、悪意のあるアクターが通信プラットフォームのTwilioに対して高度なスミッシング攻撃を仕掛けました。このキャンペーンでは、アイデンティティプロバイダのOktaになりすましたメッセージがTwilioの従業員や元従業員に送信され、そこにはパスワードのアップデートやその他のよくあるアクションを促すリンクが含まれていました。これは、従業員の名前と電話番号までが一致するという巧妙なものでした。

確かに、いくら強力なセキュリティ対策を施していても、今回のようなフィッシング攻撃から完全に逃れることはできません。フィッシングはもっとも一般的な攻撃ベクトルとして知られ、2021年にIBMで記録された攻撃の41%を占めていました。しかも、攻撃は増加の一途を辿っており、2022年の第2四半期だけでも約110万件のフィッシングの試みがAPWGによって記録されています。

よく考えれば、これは不思議なことではありません。フィッシングのようなソーシャルエンジニアリング攻撃の多くは、複雑な技術的知識を必要としないからです。ITの専門家であれば、このことをよく知っているはずです。しかし、エンドユーザの場合はどうでしょうか?

ユーザのセキュリティ意識向上を目指した戦略の構築

それではさっそく戦略について見ていきましょう。攻撃はますます巧妙さを増しており、組織のシステムに入り込む新たな方法が日々考案されています。ソーシャルエンジニアリング攻撃からユーザを守るための包括的な戦略が非常に重要になるのはそのためです。

従業員の雇用とオンボーディング

戦略は従業員が入社する前から始まります。例えば、採用を決める際には、候補者の標準的な身辺調査だけでなくソーシャルメディア分析を行って、その人の価値観が会社のそれと一致しているかどうかを確かめるのも良いでしょう。

また、実際の入社時には、テクノロジーに関する組織の姿勢や考え方を一通り説明しましょう。ここには、ITのセキュリティや人事管理に関する組織のポリシーなどが含まれ、一般的に以下のような内容が含まれます。

  • 標準的な運用ルール:組織が掲げるITのベストプラクティスには、例えばITヘルプデスクへの問い合わせ方法、アカウントへのログイン方法、デバイスが紛失または盗難に遭った場合の対処方法などが含まれます。従業員には、使用規定(AUP)や一般的なセキュリティポリシー(例:メールやSNSなどで送信してはならない組織情報)について知らせ、さらにAUPがどのように施行されるかについて説明した上で、ポリシーへの同意に署名してもらう必要があります。
  • ジョブローテーション:必ずしもすべての組織に当てはまるわけではありませんが、定期的に異なるポジションにスタッフを異動させるのが有益な場合もあります。これにより、スタッフが複数の業務をこなすことができるようになるほか、ひとつの業務に慣れきってしまったスタッフが権限レベルを超えたアクションを行なってしまう事態を防ぐことができます。また、不審なアクティビティを検出し、共謀を防ぐことにも繋がります。
  • 職務の分離:役職ごとに職務を分離することで、システムに悪影響を与える可能性のある重要なアクションを、1人の従業員がすべて実行できてしまう状況を防ぎます。例えば開発スタッフの場合、行った変更を自分で本番環境に実装するのではなく、まず誰か別の人に送って確認してもらうというステップを入れるといいかもしれません。同様に、額面の大きい小切手を入金する際には2人の署名を求めるなど、ひとつのタスクに対して複数の人が責任を持つケースも考えられます。

ユーザの行動を理解する

効果的にユーザに情報を提供するためには、ユーザの習慣や行動を理解することが重要です。こういった理解がフィッシング攻撃を成功させる原動力となっているからです。

  • パスワード:パスワードは、よく使われる単語やユーザの名前を含まない複雑なものを求めるべきです。決して共有したり書き留めたりしてはならず、頻繁に変更する必要があります。そして、これらのルールを徹底させるためのパスワードポリシーが確立されているのが理想です。
  • ソーシャルエンジニアリング攻撃:ユーザは、尾行や承認されていないハードウェアの持ち込み、フィッシングやスミッシングのよくある手法など、ソーシャルエンジニアリングの概念や手口についてよく知っておくべきです。
  • 個人デバイス:ユーザは、個人所有のデバイスを職場で使用するリスクを理解しなければなりません。この種のセキュリティリスクは、モバイルデバイス管理を利用し、会社のリソースにアクセスする前にデバイス登録を強制することで軽減できます。

エンドユーザのトレーニング

入社したばかりの社員にとってオンボーディングは何かと忙しいものですが、その期間に行うトレーニングは大いに意味があります。会社や新たな職務について学ぶなかで、情報が漏れてしまうこともあるかもしれません。そのため、従業員の在職期間中、トレーニングは継続的に行われる必要があります。

トレーニングでは、オンボーディングでも触れたIT ポリシーをおさらいするとともに、ユーザの習慣がサイバーセキュリティにどのような影響を与えるかを取り上げるようにします。また、トレーニングは各ユーザの役職に関連した内容のものを定期的に行うようにしましょう。例えば、標準的なユーザの場合、デバイスの使用方法やマルウェアのような一般的な問題を認識する方法について理解することが大切です。一方、高い権限を持つユーザには、さらに深掘りした内容のトレーニングが必要です。

多くの人は、サイバーセキュリティのトレーニングに限らず、長く退屈なトレーニングを受けた経験があります。しかし、こういったトレーニングからどれだけの知識を得ることができているのでしょうか?良いトレーニングプログラムとは、有益であると同時にそれを受ける人を楽しませてくれるものです。ここでは、いくつかのトレーニングテクニックを紹介します。

  • フィッシングキャンペーン:従業員にフィッシングメールを送信し、誰がリンクをクリックしたのかを確認することで、追加トレーニングが必要な従業員を特定します。
  • ハッカーコンテスト:セキュリティ担当者向けのこのトレーニングでは、すでに持っているセキュリティスキルを応用して実際に攻撃を行います。これにより、攻撃を見分け、対策するスキルを身につけることができます。
  • ゲーミフィケーション:その名の通り、トレーニングをゲーム化することで楽しさを提供する手法です。他のユーザと競い合ったり、トレーニングプラットフォームでミニゲームをしたりすることもできます。

オフボーディング

最後に、すべての従業員にとって有益なオフボーディングを実現するためのポリシーを作成します。コンピュータ、スマートフォン、社員証、その他の支給アイテムを含め、会社の備品をすべて返却するよう徹底することが重要です。また、従業員のアカウントを無効化し、社内システムやアプリケーションにアクセスできないようにします。退職する従業員が知っている認証情報に依存しているシステムやアカウントがないことが理想ですが、もし存在する場合には、このことを現在の従業員に伝え、認証情報を変更する必要があります。

予防に勝る治療はなし

サイバーセキュリティリスクに対するユーザの意識を高めることは、組織のセキュリティ態勢を強化する上で非常に重要ですが、 それだけでは十分ではありません。ユーザがミスを犯しにくい環境や、犯したとしても悪影響が少ない環境を用意することで、セキュリティをより強化することができます。

  • 複雑なパスワードの作成や頻繁な変更を要求するパスワードポリシーの適用
  • 複数のパスワードを覚える必要性を排除するためのSSOやIDプロバイダの活用
  • ユーザが会社のリソースに無制限にアクセスできないようにBYODプログラムを試行
  • 従業員がどこにいても必要なリソースにシームレスにアクセスできる環境と厳格な認証プロセスの両方を提供するために、ゼロトラストネットワークアクセス (ZTNA) を活用

まとめ

  • 組織のセキュリティは従業員に左右されるため、オンボーディング時にセキュリティトレーニングを開始し、在職中も継続することが極めて重要になる
  • 有益なトレーニングプログラムを考案するには、まずユーザの行動を理解し、適切に対応することが必要となる
  • 効果的なトレーニングプログラムは有益であると同時に楽しいものでなければならない
  • ZTNAネットワークアーキテクチャクラウドIDプロバイダによるSSOモバイルデバイス管理を組み合わせることで、ユーザがミスを犯した場合でもリスクを低く抑えることができる

Jamf Proはユーザと業務データの両方を保護します。

Jamfブログの購読

市場トレンドやAppleの最新情報、Jamfのニュースなどをお届けします。

当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。