従業員は、内部脅威やアカウント侵害、または標的型フィッシングやマルウェア攻撃など、最新のサイバー脅威において重要な役割を担っています。たった一回の誤ったクリックや、よく確認せずにダウンロードしてしまうことにより、組織を情報漏えい、評判の低下、サービスの中断などのリスクにさらしてしまう可能性があります。
人とデータを保護するには、サイバー犯罪者が組織の境界に到達する前に、できるだけ早く攻撃チェーンを断ち切ることに努めなければなりません。 この記事では、この目的を達成するためのセキュリティ文化の重要性と、ユーザーがこのプロセスの一員として担う役割についてご紹介します。
攻撃チェーンにおける人の役割
元はロッキード・マーティンにより提唱された用語、「攻撃チェーン」または「キルチェーン」は、サイバー脅威のさまざまな段階を指しています。 こうした定義の目的は、攻撃者がどのように接触しているか、悪意のあるペイロードがどのように配信されて実行されるか、データがどのように持ち出されるかなどについて詳しく探ることです。
攻撃をこれらの段階に分解すれば、セキュリティチームは、サイバー脅威を一つの大きな形のない攻撃として防止しようと対処するのではなく、検知メカニズム、保護コントロール、対応計画を各段階で評価することができます。
人への攻撃は何も新しいことではないことはわかっています。攻撃者は、狙うデータまたは認証情報にアクセスできそうな人は誰なのか、見当をつけます。標的が定まると、攻撃者は、その人を侵害するための最適な方法を模索します。メールまたはソーシャルメディアから直接連絡する、または信頼できるサードパーティを武器にする場合もあります。
ほとんどの場合、配布方法はメールです。これは、簡単で利用しやすく、コストもかからず、広範に展開できるといった、シンプルな理由からであり、攻撃者にとって完璧なツールとなります。この段階では、ソーシャルメディアの情報がしばしば使用されます。ターゲットの興味に合わせたメッセージを作成できるため、この攻撃手法で人的要素の弱点をさらに効果的に利用することができます。このようにソーシャルエンジニアリングの手法をすべて用いれば、ユーザーがだまされてしまうのも無理はありません。
アカウントの侵害に成功すると、攻撃者はネットワーク内でラテラルムーブメントを行い、より多くの人を標的にして管理者権限を昇格させようとします。しかし、この時点で攻撃者は「本物」の内部アカウントを使用しているため、その正当性からユーザーが侵害されていることに気づくことは難しいです。
防御は意識向上から始まる
「人」を中心としたサイバー攻撃に対抗するには、「人」を中心とした防御が必要です。 そして、この防御を達成するための最初のステップは、意識向上です。ユーザーは、直面しているリスクを把握し、直面した場合にどのように行動することが期待されているか理解しておく必要があります。これはベースラインです。
運転する前に交通ルールや標識の意味を理解しておかなければならないのと同様に、従業員がデータを保護できるようになるにはまず、セキュリティの基本を理解しておかなければなりません。
しかしもちろん、それだけでは十分ではありません。 意識向上は一要素にすぎず、実際の行動はまた別の要素です。
運転の例えを続けますが、時速50kmの速度制限が存在することを知っていても、どこでこれが適用されるかはわからず、あなたが正しく従っているとも限りません。そのため、標識、スピードカメラ、交通を監視する警察が存在するのです。サイバーセキュリティにも同じことが言えます。意識向上コンテンツ、能力テスト、フィッシング シミュレーションによって従業員が期待通りに行動しているか判断することができます。
しかし、誰も見ていなければどうでしょうか?監視することができなければ、従業員がルールを破るリスクをどのように減らすことができるでしょうか?また、誰も見ていないのに多くの運転手が速度制限に従うのはなぜでしょうか?一般的に答えは、習慣や社会の常識、または文化となるでしょう。このアプローチをサイバーセキュリティにも取り入れるべきだと思います。
セキュリティ文化の後ろ盾
組織のセキュリティ文化を構築する際のシンプルな起点は、従業員に「ルール」と責任を改めて伝えることです。
時速40kmの標識が目に入るほど、時速40kmで運転しようと意識するでしょう。同じことが通常のトレーニングや、セキュリティ ベストプラクティス関連で目にするリソースにも当てはまります。 このセキュリティ意識向上トレーニングにより、従業員はすべきことが理解できます。
次は、なぜこれが重要なのかについて説明します。時速40kmと時速50kmでの致死率の違いについての議論、最寄りの通学路に関する説明、交通量の多い場所での過去の事故発生率は、速度超過で運転した場合の結果について話す際に有効です。このメッセージを刻めば、ユーザーは、正しい行動を取ることは、ただのコンプライアンス遵守ではなく、真に重要であることが認識できるしょう。
最後に、これらのルールを守るよう啓蒙を広めることを目指します。また、ルールに従うと決めた人々を社会が歓迎し、ルールに従わない人には圧力をかけます。このような圧力は繊細ながらも効果的です。すべての人が停まっているのに停止標識を無視して通過しようとするユーザーはいないでしょう。
この例えは的確ではないかもしれませんが、いくらかは当てはまるでしょう。 しかしセキュリティまたは運転であれ、文化を構築することにより、CISO(または警察)に見られていなくても、人が正しい選択をする可能性は高まるでしょう。従業員がこのように行動していれば、組織の全員がセキュリティ上級者となります。すべての人ができるだけ多くの機会に正しい選択を行おうと注意すれば、サイバーセキュリティ脅威に対抗するための強力な後ろ盾となるでしょう。
攻撃チェーンを断ち切るために従業員をサポートする
強力なセキュリティ文化は間違いなく、標的型の「人」を中心としたサイバー攻撃に対する最高の防御となります。しかし、これは簡単な解決法ではありません。この方法へ直接スキップすることはできません。
まず、意識に関してどの位置にいるか理解する必要があります。ここから、トレーニング、知識の構築、サイバー戦略の理解と基盤の構築に注力することができます。つまり、日常的な脅威に照らして、最も必要な人を対象にした、定期的な必須学習を提供する必要があります。
従業員がサイバー脅威、脅威がもたらしうる影響、脅威を寄せ付けないための従業員の役割に関する理解を深めるほど、速やかに安全でない行動を変えることができるでしょう。そしてこの基準からのみ、境界が侵害される前に攻撃チェーンを断ち切ることのできるセキュリティ文化を構築できます。
攻撃チェーンを断ち切るためにプルーフポイントをどのようにお役立ていただけるかについて詳しくご覧ください。 また、プルーフポイントのレポート、「2023 State of the Phish」 をダウンロードして、この地域の最大のサイバー脅威について知り、ユーザーを防御の砦に変える方法をご覧ください。