現在では「人」が新しい境界となっており、攻撃者にとって第一の標的となっています。Verizon の 「2022 年データ漏洩/侵害調査報告書」によると、データ侵害の 82% が人的要因によるものです。
People-Centric なリスクを軽減するために、ほとんどの組織はエンドユーザーの教育に投資しています。中には、コンプライアンスまたはトレーニングの枠を超え、組織の安全を維持するためにユーザーの意欲を高め、サポートする、サイバーセキュリティ文化の構築に移行している組織もいます。しかし、「サイバーセキュリティ文化」は、多くの人にとって聞いたことのない言葉であったり、あいまいであるかもしれません。
このブログ記事では、「サイバーセキュリティ文化」の意味を明らかにするとともに、思慮深いモデルを使用してセキュリティ意識向上トレーニングプログラムを強化し、行動の変化を促進する方法を探ります。
サイバーセキュリティ文化とは?これが重要な理由は?
プルーフポイントでは、サイバーセキュリティ文化を「従業員の行動を、組織をサイバー攻撃から保護・防御する方向へと導く、信条、価値観、姿勢」と定義しています。サイバーセキュリティ文化は、主に次の 2 つの理由により、ポジティブなセキュリティ行動の開発の強力な要素となっています。
- 従業員がインシデント防止に責任を担っていると感じることができれば、組織の全体的なセキュリティ体制を向上させることができます。セキュリティは全員の責任です。これを従業員が自覚すれば、注意力が高まり、適切な行動を目指すようになります。
- これにより人的リスクを軽減することができます。強力なサイバーセキュリティ文化により、行動の変化を促進し、ユーザーはプライベートでも保護を高められるような持続可能な習慣を構築することができます。これにより、ユーザーは、個人のデバイスで数時間経ってから脅威に気づいた、またはほとんど気づかなかった場合に、攻撃者の悪意のある行為を阻止するために必要な習慣を身に付けることができます。
評価方法
プルーフポイントでは、サイバーセキュリティ文化とは、3 つの主要要因が重なり合ってできていると考えています。
- 責任: サイバーセキュリティ脅威を防止するための行動に対し、従業員と同僚が責任を負っていることを従業員は実感しているか?
- 重要性: 従業員は、脅威の影響が自分自身にも及ぶことを理解しているか?
- エンパワーメント: 従業員は不審な行動を特定し、報告できるようサポートされていると感じているか?
図 1: セキュリティ文化の 3 つの要素
行動の意欲を高めるために (つまり、組織の安全を維持するために)、ユーザーは、脅威と組織への侵害がユーザー個人にも影響を及ぼしうる問題であるととらえる必要があります。組織を保護する重要性を理解することも重要です。また、脅威を特定するための適切な知識とツールで従業員をサポートする必要があり、従業員は、攻撃による組織の妨害または損害を防止する役割を担う責任を感じる必要があります。
従業員が、組織を攻撃から保護する能力と意欲があることを診断するために、プルーフポイントは、上記の 3 要素それぞれを評価するためにサイバーセキュリティ文化調査を作成しました。この簡単な調査によりセキュリティチームは、組織のセキュリティ文化の現況を簡単に測定し、定量化することができます。また、通知事項や教育を従業員向けに調整することにより、意欲を高め、サポートすることができます。
プルーフポイントは、以下の原則に従って調査を設計しています。
- 実用的: 明確に判断しやすい結果
- 簡潔: 負担のない所要時間で回答可能
- 的を絞った: 各質問は 1 つのテーマのみを扱う
- 明確: 各質問は率直で、専門用語は避ける
- 信頼性: 類似の状況でテストした場合でも同様の結果が得られる
- 有効性: 測定対象を正しく測定する
- 偏りのない: 回答の偏りを抑制
カルチャアセスメントを実施する際、ユーザーが忙しい中でも取り組みやすいよう短くシンプルなものにする必要があります。最後に、早めに管理の頻度を決めます。これにより、アセスメントを実施する、定期的なデータポイントを得る、受け取った結果に基づいてプログラムを変更するために最高の方法を決定することができます。
カルチャアセスメントにより、どのようにセキュリティ意識向上プログラムを強化できるか?
カルチャアセスメントは、ユーザーの感情を計測し、ユーザーが共感する未来のイニシアチブを計画するために必要です。ナレッジアセスメントはユーザーが知っている ことを測定し、フィッシングなどの脅威シミュレーションは、ユーザーが行うことを測定します。カルチャアセスメントはユーザーが考えていることを測定する効果的な方法となります。
ユーザーが考えていることを知ることは、サイバーセキュリティ チームが、さまざまなユーザーグループに対し、通知事項やトレーニング割り当てにおいてどのような調整を行うべきか判断するのに役立ちます。サイバーセキュリティ文化の強化には、ユーザーの投資と意欲が必要であり、これは、ユーザーが脅威に直面した際の行動に直接影響するものです。
図 2: カルチャアセスメントは、効果的なセキュリティプログラムのコンポーネントにおけるギャップを埋める
堅牢なサイバーセキュリティ文化を構築する方法
組織にとって、ユーザーが知っていること、実際に行っていること、考えていることを考慮した、多面的なセキュリティ意識向上プログラムを提供することが重要です。セキュリティ意識において担う役割に対する、ユーザーの感じ方や考え方は、組織において影響を促進し、リスクを減らします。カルチャアセスメントが役立ちます。