情報セキュリティは楽しく学ぶもの?【後編】:やりにくい仕事(2/2 ページ)
子ども向けのガイドライン、社内ニュースレター、MP3による音声配信など、あの手この手を使って各企業とも従業員のセキュリティトレーニングに取り組んでいる。ポイントは「楽しみ」を与えることだという。
効果測定
さまざまな講座、オンライントレーニング、セキュリティヒントの提供など、実際に効果があったかどうか、セキュリティの専門家たちはどう判断しているのだろう? 認識トレーニングの有効性を測定することは簡単ではない。ネットワーク侵入などの問題が発生しなかったことを、どのように評価できるだろうか?
ピッツィーニ氏のように、セキュリティ担当者の多くは従業員からフィードバックされる情報に依存している。ドレイン氏は、従業員からの質問をベースにセキュリティ認識の度合いを測定するという。また従業員の意識調査やソーシャルエンジニアリング/浸透度テストで、従業員のセキュリティ認識を探る企業もある。
USAフェデラル・クレジット・ユニオンは、過去2年にわたってソーシャルエンジニアリング・テストを行った。昨年は契約業者のふりをした監査人が、誰にもとがめられることなく、支店の休憩室に侵入できた。今年、監査人は2つの支店でロビーを通過することさえできなかった。またフィッシングメールについても、今年は引っ掛かった従業員が1人もいなかった。昨年は6割以上の従業員がだまされたことを考えると、大きな進歩と言えるだろう。
「自慢の息子を持つ母親のような気分だった」と語るのは、USAフェデラルの上級副社長でCIO(最高情報責任者)のキャロライン・ジェームス氏だ。
従業員に口うるさく言わず、楽しみながらセキュリティを意識させることが重要だ、と同氏は言う。USAフェデラルのセキュリティ認識プログラムには、新人研修プレゼンテーションと全従業員220名が毎年参加しなければならないコンピュータベースのトレーニングがある。ジェームス氏は定期的に従業員にメールを送ったり、イントラネットに記事を投稿するように心掛けているが、それらにはユーザーの関心を引き付ける愉快な画像が含まれていることが多い。同氏はまた、鍵の形をしたストレスボールを配布することがある。そこには「セキュリティの鍵は、あなたです」と印刷してある。
「セキュリティ上のミスが叱責(しっせき)や解雇といった重大な結果につながることを知れば、従業員は真剣にトレーニングを受けるだろう」といった意見がないわけではない。しかし、ジェームス氏をはじめ多くのマネジャーは脅しの戦略を否定する。むしろジェームス氏は、スタッフミーティングや全社一斉メールの中で、フィッシングメールや不正なアクティビティの形跡を知らせてきた従業員を積極的に賞賛するよう心掛けているという。
そうしたポジティブな対応はきわめて有効だ。「従業員が疑わしいものを発見したとき、すぐに電子メールで知らせてくれるようになった」とジェームス氏。「敵の侵入に備え、大勢の見張りを配置しているようなものだ」
USAフェデラルでは、監査人のパスワード強度テストに合格した従業員の氏名を公開したことで、従業員の間に健全な競争心が生まれたという。何人かの従業員は、自分のパスワードの強度がどれくらいかジェームス氏に問い合わせてきたという。「彼らは自分たちのパスワードがわずか15秒でクラックされたことにショックを受けていた」と同氏は笑う。
ケア・ニューイングランドでも、従業員向けセキュリティ教育の効果が上がっているかテストを行っている。コア・セキュリティ・テクノロジーズのソフトウェアを利用すれば、従業員にメールを送り、フィッシングや電子メール詐欺にどのように応答するか調べることができる。「もし彼らが偽のリンクをクリックしたら、トレーニングで学んだことを忘れないように、あとで声を掛ければよい。彼らは“ああ、そうでした”と答えるだろう」とペッシェ氏。
「トレーニングは役に立たない」と切り捨てるセキュリティ専門家もいないわけではない。例えば、マーカス・ラナム氏は、「ユーザー教育はコンピュータセキュリティにおける最も馬鹿げた6つのアイデアの1つだ」と書いている。もし効果があるなら、既にその効果が出ているはずだ、というのである。またセキュリティスペシャリストの中には、人間の正義感に依存するより、すべてをロックダウンしたほうが効率的だとする声もある。ペッシェ氏はそうした意見に懐疑的だ。
「システムの安全性を確保することには限界がある。結局、リスクを管理しながら対応していくほかない」と同氏。「たとえユーザーの50%しかトレーニングできなかったとしても、もしトレーニングしなければ、その50%は存在しない」
一方、ピッツィーニ氏は今日も新しいネタの仕入れに余念がない。
「セキュリティ認識トレーニングは、情報セキュリティにとってきわめて重要な要素だ。教育すればするほどユーザーは賢くなる」と同氏は強調する。
親のためのガイドライン
マカフィーは有害サイトから子供を守るための10の方法を提唱している。
- 子供のインターネット利用をモニタしよう。コンピュータは家族みんなが集まる場所に置き、夜間の使用は制限する。
- コンピュータを強力なセキュリティソフトで防衛する。
- 子供たちにMySpaceやブログなどのソーシャルネットワークを利用する場合の基本的なルールを理解させる。パスワードを保護し、個人のID情報や不適切な写真をポストしないように注意する。
- オンラインで知り合った人とオフラインで会うときは、必ず親の承諾を得るように命じる。
- P2Pファイル共有プログラムを利用するときは、知らないユーザーのコンピュータからファイルをダウンロードさせない。
- オンラインの申込フォームや調査フォームには絶対に記入させない。
- チャットルームは親がモニタできるところのみ許可し、個人情報を類推できるようなハンドル名は使用させない。
- 見知らぬ人からのメールやインスタントメッセージは無視するように教える。
- 子供用のブラウザ、子供向けの検索エンジンを利用させる。「Kid Browser 1.1」のような子供向けブラウザは、不適切な単語や画像を表示しない。子供向けサイトの「Ask for Kids」や「Yahooligans」は、検索項目や検索結果の表示を制限している。
- 子供たちに各分野の専門家がリストアップした適切で有益なWebサイトを見つけさせる。米国図書館協会は子供向けに「ALA Great Web Sites for Kids」を用意している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
学会のスパム対策:スパムの習性を逆手に取り検知率99%を実現した方法とは
迷惑メール被害に有効な対策を見つけられずにいた情報処理学会は、ミラポイントが実用化したスパム対策技術を採用し予想以上の改善を実現させた。
ITmedia エグゼクティブセミナーリポート:情報管理の“鍵”はエンドポイントセキュリティ
企業の情報をいかに安全に管理していくかは内部統制を進める上で重要になる。特にグローバル展開する大企業においては、グループ子会社やパートナー企業を多く抱えているため、情報管理の善しあしが企業の競争力に跳ね返る。
脆弱性管理の優先課題:パッチを当てて祈るだけではもう十分ではない
Information Security誌の調査によれば、米国企業のIT担当者はセキュリティ分野において、脅威と脆弱性の相関関係の分析が重要だと考えている。
データ保護の包括的アプローチ:データベースセキュリティとデータガバナンスが今年の優先課題
重要な機密データの保護は、多くの企業で優先的な取り組みと位置づけられている。米国でもデータガバナンスを最優先課題ととらえるユーザーは多く、必要なデータを抽出できる仕組み作りが大切だという意見が大半を占める。
なぜあの会社は叩かれたのか:危機が重大化する構造――危機の本質とは
企業の周りは、さまざまな危機が存在する。それらすべてを管理することは非常に困難だが、押さえておくべきポイントが存在する。