「社員一人ひとり」に
”ヒューマンファイアウォール”を根付かせるための
セキュリティ意識向上トレーニングとは

「人の脆弱性」を狙うサイバー攻撃が増加、金銭被害も甚大に

もはやセキュリティ製品では
守り切れないような被害が

サイバー攻撃者は常に新たな攻撃手法を模索し、有効と思われる攻撃を強化、進化させていきます。しかも、最近ではサイバー攻撃者の組織化が進んでおり、より効率的なサイバー攻撃の“開発”に取り組んでいます。国家が支援するサイバー攻撃者グループもあり、潤沢な予算による高度なサイバー攻撃も行われています。

このような状況の中で急激に攻撃、被害ともに急増しているのが、騙したり、なりすましたりという“人の脆弱性”を狙うサイバー攻撃です。主にメールが使用され、実在する組織や人物を騙る上にマルウェアを使用しないものが多いので、従来のセキュリティ対策をすり抜けてしまいます。

新型コロナウイルスに便乗し、在宅を狙った詐欺メールの増加

在宅で緩む、サイバー攻撃への
対応力

昨今は、新型コロナウイルスの感染拡大に便乗した悪質な標的型メールや、在宅環境を狙った悪質なサイバー攻撃も確認され、一般財団法人 日本サイバー犯罪対策センターや厚生労働省からも注意喚起が出されています。
在宅環境特有の周囲に直ぐ相談できずに開いてしまう不審メールにご注意願います。
国立感染症研究所・自治体・ネット通販大手等を装う詐欺メールが確認されており、10万円給付金等の対応でも今後増加予想もあります。

「情報セキュリティ10大脅威 2020 (組織)」

引用:IPA(情報セキュリティ10大脅威2020)

1位標的型攻撃による機密情報の窃取

ターゲットの機密情報等の窃取を目的とし、PCをウイルスに感染させ、組織内部へ潜入する標的型攻撃。従業員が悪意あるメールの添付ファイル、リンクを開かせる

※引用:IPA(情報セキュリティ10大脅威2020)より

2位内部不正による情報漏えい

従業員が破壊処理予定の HDD を転売した事件が記憶に新しい。人的管理及びコンプライアンス教育の徹底による対策が求められる

※引用:IPA(情報セキュリティ10大脅威2020)より

3位ビジネスメール詐欺による金銭被害

ビジネスメール詐欺は、国内外の取引先や自社の役員等を装ったメールで、企業の出納担当者を騙して、攻撃者が用意した口座へ送金させる詐欺

※引用:IPA(情報セキュリティ10大脅威2020)より

5位ランサムウェアによる被害

攻撃手口としては、
・メール感染:添付ファイルや本文のURLを開かせることで感染
・ウェブサイトから感染:予め攻撃者が改ざんしたWebサイトを用意し、閲覧させる
・脆弱性の悪用:ソフトウェアの脆弱性が未対策のままの端末を感染

※引用:IPA(情報セキュリティ10大脅威2020)より

7位不注意による情報漏えい

組織や企業において、情報管理体制の不備や情報リテラシー不足等が原因となり、従業員が個人情報や機密情報を漏えいしてしまう事例が 2019 年も多く見られた。漏えいした情報が悪用される二次被害が発生するおそれもあるため、十分な対策が求められる。

※引用:IPA(情報セキュリティ10大脅威2020)より

代表的な攻撃例

ビジネスメール
詐欺(BEC)
ビジネスメール詐欺(BEC)
詳しく見る
巧妙化する
フィッシング詐欺
巧妙化するフィッシング詐欺
詳しく見る
マルウェア
「Emotet」の手法
マルウェア「Emotet」の手法
詳しく見る

セキュリティ意識レベルの向上とセキュリティカルチャーの醸成の必要性

セキュリティ志向の文化が根付いていないため、
従業員が好奇心や無気力な衝動になる
フィッシング詐欺の餌食になる可能性が。

2019年、フィッシング対策協議会への報告件数
55,787

フィッシングサイトの稼働が確認されている
金融機関も多く
29機関以上ございます

※ フィッシング対策協議会ホームページ 2019年12月26日時点の情報
(https://www.antiphishing.jp/news/alert/phishbank_20191226.html)

従来のセキュリティ対策は、ファイアウォールなどで言うところの
ネットワーク層やアプリケーション層など7つのレイヤーで
サイバー攻撃を検知、防御してきました。

しかし、
従来の対策では「人を騙すタイプ」
サイバー攻撃から守ることはできません。

新たに「人のセキュリティ意識」という
8つ目のレイヤーが必要なのです!

セキュリティ対策における第8層
「ヒューマンファイアウォール」
を形成

「人」をファイアウォールにすることにより、
セキュリティ対策製品をすり抜けてきた攻撃を
防御できるようにする

セキュリティ意識向上層に求められる「2つのポイント」

8つ目のレイヤーであるセキュリティ意識向上層を効果的に機能させるためには、2つのポイントがあります。 それは「セキュリティ意識レベル」と「セキュリティカルチャー」で、それぞれに7つの要素があります。

セキュリティ意識レベル

セキュリティ意識レベルは、それぞれの要素についてセキュリティを意識する、あるいは正しいセキュリティ知識を身につけること。具体的には以下が挙げられます。

  • 電子メールセキュリティ
  • IT管理者への報告
  • インターネット利用
  • モバイルデバイス
  • パスワードと認証
  • セキュリティ意識レベル
  • ソーシャルメディアの使用

セキュリティカルチャー

「何らかの行動をする際には常にセキュリティを意識する」ということを企業に属する全員が行う。つまり企業文化として根付かせるということです。

  • 態度
  • 行動力(ふるまい)
  • 認知力
  • コミュニケーション力
  • コンプライアンス・ポリシー遵守
  • 規則、規範意識力
  • 個人の責任感

セキュリティ意識向上トレーニングの変化

対策の変化と、いま求められる対策

五世代目に至った経緯

第一世代 テクノロジー(セキュリティ対策製品)
に依存
第二世代 集合研修 パワーポイント資料
(独自コンテンツ制作または外部委託)
第三世代 勉強会方式、セキュリティ教育ビデオ、
eラーニング受講
第四世代 標的型攻撃訓練メール配信システム(年に1回)
ランサムウェア対策
第五世代 ヒューマンファイアウォールアプローチ
(New School: 定期的、継続的な自動化運用)
  • 1:オンラインで全社員を教育(学習と体験を重視、セキュリティを第一のマインド形成にする)
  • 2:フィッシング詐欺攻撃、本番さながらの疑似演習体験とテンプレートのカスタマイズ
  • 3:訓練メールとセキュリティ教育を連携、自動化(IT管理者の負担を大幅に軽減)
  • 4:結果をスコアで数値化(受講者、部署、全社レベル)
  • 5:テスト結果に基づく、グループ化と教育プログラムのカスタマイズ化
  • 6:フィッシング詐欺ヒット率の可視化と同業他社との比較(ベンチマーク)
  • 7:リスク削減効果の測定

新しいセキュリティ意識向上トレーニングが求められているのか?

4つの効能が組織を変える

1

セキュリティを第一のマインドセットに形成する意識改革が急務

2

日々求められるセキュリティ上の判断に社員ひとりひとりの的確な意志決定を可能にする

3

ひとりひとりにセキュリティカルチャーを醸成(ヒューマンファイアウォールを形成)

4

IT管理者へ「報告」できる社員

第5世代のトレーニングプラットフォーム「KnowBe4」とは

充実した教育コンテンツをベースとした戦略

米国のKnowBe4社は、第5世代のトレーニングプラットフォーム「New School」を提供しています。
KnowBe4の由来は「Know Before」、つまり“やられる前に知る”ことです。
8つ目のレイヤーである「人」は騙されやすく、うっかりミスを起こしやすい、実は最も脆弱なレイヤーで、サイバー攻撃者はここを突いてきます。KnowBe4では、こうしたヒューマンエラーの克服に取り組んでいます。

セキュリティ意識向上トレーニングと
フィッシングシミュレーション・分析を組み合わせた「世界最大の統合型プラットフォーム」

  • 教育コンテンツ:1,100種類以上
  • 多言語対応  :30ヶ国の言語対応(日本語対応)
  • フィッシング詐欺メールテンプレート:4,700種類以上

「KnowBe4」の3つの特長

特長

「セキュリティ意識向上トレーニング」と「フィッシング攻撃のシミュレーション」を
組み合わせた世界最大の統合型社員教育プラットフォーム

従来の社員教育は、eラーニング等を使った社員教育、標的型Mail訓練など、それぞれ別々に実施してました。KnowBe4は、① 社員教育プログラム (TRAIN)② 模擬攻撃の実施 (PHISH)③ 分析・効果測定 (ANALYZE)を1つのプラットフォーム上で一元管理し実施致します。これにより今まで把握できなかった「個人」、「部署」、「組織」それぞれのリスクレベルを可視化し、そこから最適な教育プログラムを作成する事ができます。必要な教育の最適化を行い、従業員のセキュリティ意識の向上に寄与します。

従来

内容によって実行部署が異なり、管理がバラバラ

KnowBe4 導入後

一元管理が可能!効果測定と教育プラグラムの見直しが簡単!

特長2

動画コンテンツを軸にした「新しい学び方」を提供

従来のセキュリティ教育のコンテンツは、静止画を基本としていましたが、KnowBe4では、動画による教育コンテンツを中心とし、受講者のモチベーションを高める工夫がなされています。

従来

静止画を中心とした教育コンテンツに退屈

KnowBe4 導入後

映画さながらの動画による教育、モチベーションもUP!

特長3

年間サブスクリプション・モデルでの提供

教育コンテンツやフィッシング攻撃などのサービスは、期間内であれば無制限で利用可能。
必要な人に必要な教育を継続的に提供可能です。

従来

SNSやクラウドなど、テーマ毎にコンテンツを
作成する必要あり。Mail訓練も回数制限あり。

KnowBe4 導入後

多言語対応した1,100種類以上の最新のコンテンツが見放題!
4,700種類以上のフィッシングMailテンプレートも
期間中、何回でも使い放題!

ヒューマンファイアーウォールを形成する流れ

3つを自動化し、効果を測定

① 社員教育プログラム
(TRAIN)

グローバルに対応したセキュリティ意識向上トレーニング
多言語対応による「全社レベル」でのセキュリティ文化の醸成

詳しく見る

② 模擬攻撃の実施
(PHISH)

豊富なテンプレートを活用し、「本番さながらの攻撃」疑似体験(ソーシャルエンジニアリング被害模擬体験)。
社員、部署ごとにレベルに合わせた教育メニューを策定。
Phish Alertボタン(無償提供)を使い、何かあったら報告する文化醸成
※不審メールは、開かない/クリックしないから「報告」へ

詳しく見る

③ 分析・効果測定
(ANALYZE)

是正学習を可能とする効果測定と、きめ細やかなレポーティング

詳しく見る

定期的に実施することで
被害リスク低減を可視化
ポリシーに基づき、個人、
組織に適切な教育コンテンツを設定

導入効果

KnowBe4の価値とROI

  • フィッシング詐欺ヒット率(PPP)を数値で可視化するレポート
  • 定期的に実行、12ヶ月後その効果を測定
トレーニングとテストを展開して、わずか90日で、半減。つまり、1年間で詐欺ヒット率を92%改善が可能!!

<フィッシング詐欺ヒット率の推移>
19の異なる業種の18,000社 900万人の従業員、2千万回以上の模擬フィッシングセキュリティテスト結果より

定期的に実施することで
被害リスク低減を可視化
ポリシーに基づき、個人、組織に
適切な教育コンテンツを設定

127% ROI

※米国フォレスター調査
Forrester TEI: Total Economic Impact

KnowBe4 会社概要

所在地 (本社)米国フロリダ州クリアーウォーター
設⽴ 2010年に米国フロリダ州、タンパベイで設立
従業員数 全世界 501-1,000人
顧客数 32,000社以上
成長 27回、四半期連続2ケタ成長
CHO 世界で最も有名なセキュリティスペシャリスト、Kevin Mitnick
2019年度マジッククアドラントで3年連続リーダー
  • 起業家、トップ企業文化
    153社中、第3位(2017年)

  • Cybersecurity注目企業
    500社中、第2位(2018年)

  • 急成長会社トップ500社中
    第96位(2018年)

  • フォレスターが選ぶ
    WAVEリーダーに

KnowBe4の評価

画像をクリックすると詳細ページ
(外部リンク)が開きます

KnowBe4の成長性

ユニコーン企業(※)として全世界から注目
※評価額が10億ドル以上の未上場のスタートアップ企業

27回連続、四半期2ケタ成長。
KnowBe4 本社

KnowBe4のCHO「Kevin Mitnick」とは

世界で最も有名なセキュリティスペシャリスト、
Kevin MitnickがCHO(Chief Hacking Officer)として活躍

“多額な費用をかけてテクノロジーやサービスを購入しているが、ネットワークインフラは依然として昔ながらの巧妙な手口には脆弱のままである。”
— Kevin Mitnick (ケビン・ミトニック)

紹介動画

セキュリティ業界の「Netflix」と称されるKnowBe4のセキュリティ教育動画です。
※「新しい学び方」を提唱するセキュリティ意識向上トレーニングがいかに楽しいものかご確認ください。
作品名:「The Inside Man」外部から忍び寄る内部犯行(日本語吹替予告編)

世界で急成長しているセキュリティ意識向上サービス「KnowBe4」の紹介です。

各種情報

×

資料サンプル表示

続きをご希望の方は「資料請求」よりご連絡ください。
(メーラーが立ち上がります)

資料請求