セキュリティ戦略を検討する際に、最も重点を置かなければいけないことは人的要素に関する部分です。Kaspersky Labsの調査結果によると、企業の52%がセキュリティ上の最大の弱点は従業員であると認識しています。また、他の研究結果でも情報漏えいの60%~90%は人為的ミスが原因であると報告されています。
もちろん、ほとんどの場合は悪意ある行動の結果ではありません。セキュリティに関する無知やちょっとした手抜きが原因です。しかしながら意図しないとはいえ、このようなミスは重大な結果を招きます。IBMとPonemon研究所の共同調査によると、情報漏えいによる企業の平均コストは約4億円にものぼります。また情報漏えいを行った企業の約3割は、その影響により顧客を失っています。Forrester社がアメリカとイギリスを対象に行った調査では、セキュリティ問題により38%の企業が倒産に近い状態に追い込まれています。
企業はセキュリティ教育を日頃の業務に組み込み、継続的なトレーニングを行っていく文化を醸成していく必要があります。

~LMS365製品担当副社長 Flemming Goldbach氏~

従業員の脅威

セキュリティ問題の大部分は人為的ミスが原因となります。Ponemon研究所のレポートによると、インサイダーが原因となるセキュリティ問題の件数は2018年以降47%も増加しており、この傾向は悪化の一途をたどっています。
従業員は、知らず知らずのうちに様々なセキュリティエラーを犯してしまいます。最も頻繁に発生するのは、受け取ったメール文中のリンクをクリックしてしまう、未知の添付ファイルを開いてしまう、フィッシングサイトで個人情報や機密情報を入力してしまうことです。これらは、サイバー犯罪者が典型的な人間の行動原理を利用したソーシャルエンジニアリングによって引き起こされています。

リモートワークによる脅威の拡大

コロナの影響で世界的に在宅勤務が進んでいますが、これはセキュリティ上も大きなリスクをはらんでいます。バラクーダネットワークス社の調査によると、都市封鎖(ロックダウン)以降46%の回答者が何らかのセキュリティ問題を経験していました。また、回答者の51%はメールフィッシング攻撃に遭遇しています。
現在、在宅勤務へのシフトは世界的な大きな流れになっていますが、セキュリティ対策が追いついていない企業が多いのが現状です。Tessian社の調査によると、従業員の52%は自宅から仕事をする際にはセキュリティリスクが遠く感じられ、業務中の機密ファイルのやり取りに電子メールを使用しているそうです。特に、在宅勤務の場合はデバイスやネットワーク環境が人によって様々であることも、問題を複雑化させています。

トレーニングを行うことの企業責任

セキュリティ問題に関しては、知りませんでした、では済まされないケースが多々あります。企業としては、従業員に対して知識と教養を与える機会をもつ責任があります。実際ほとんどの企業はIT投資を行う際にトレーニング部分に十分な予算を確保していません。多くの場合IT予算の85%を新しい機器やソフトウェアの導入に費やし、それに関する教育には5%程度しか費やしていません。そう考えると、もっと人為的ミスが頻繁に起きないのが不思議なほどです。
企業としては多要素認証や高度なファイアウォールなどのシステムを実装していますが、セキュリティ戦略を検討する上ではシステム的な、ハード的な対策だけでは不十分です。従業員に対するセキュリティ教育を継続して実施することで、意識を高め、企業が安全な状態を維持しながら最新のデジタル関連テクノロジーを柔軟に使いこなせるようになるのです。
企業のセキュリティ状態を高く保つためには、もっとソフト的な従業員に対する教育を中心に据える必要があります。結局のところ、どんなシステムもソフトウェアも、それらを運用し使いこなしていくのは従業員です。現状のように、システム導入には大きな予算をかけているにも関わらず、それに伴う教育への投資を忘れている状態が続けば、いずれ重大なセキュリティ事故が発生するリスクがあります。

継続的なセキュリティトレーニング

トレーニングを行う際には適切なツールを使用することも重要です。セキュリティリスクは日々変化していきます。悪意ある攻撃者は日進月歩で進化し昨日は存在しなかったリスクが今日には懸念事項になってくることもしばしばあります。そのため、従業員へのセキュリティトレーニングもその変化に対応し継続的に行っていく必要があります。
大多数の企業では年1回のセキュリティトレーニングを義務付けていますが、当然年1回のトレーニングでは間に合いませんし、従業員の中に定着することもないでしょう。日々の業務の中にセキュリティ教育を組み込み、身近なところで従業員がいつでもセキュリティ情報に触れている環境を作ることが重要です。
また、セキュリティ情報に関して従業員同士の情報交換も重要です。教育も一方通行の法令遵守や事例紹介のみにとどまらず、従業員同士がコミュニケーションしながら最新のセキュリティ問題や対策、最近の流行などをキャッチアップできるようにするべきでしょう。

セキュリティ教育の重要性を見直す

コロナ禍により働き方に大きな変化が生まれています。リモートワークに移行している企業も多く、このような働き方に変化が生まれるときはセキュリティリスクも高くなりがちです。企業としては今まで以上にセキュリティ戦略の重要性が増してきています。そして、その戦略の中心には必ず従業員がいます。
従業員は何らかの形でセキュリティ情報に常に触れていることが望ましいため、いつでもどこでもセキュリティに関する教育を受けたり、見返したりできるような環境が必要です。そのためにはEラーニングが最適で、常にEラーニングのプラットフォーム上に様々なセキュリティ情報があがっていて、それを学び、またそれについて従業員同士でコミュニケーションが取れるような基盤とコンテンツを整備することで、従業員のセキュリティレベルをあげ、企業そしてお客様に利益をもたらすような継続的な学習文化を構築していきましょう。