セキュリティ意識向上トレーニングプラットフォーム「KnowBe4」
「社員一人ひとり」に
”ヒューマンファイアウォール”を根付かせるための
セキュリティ意識向上トレーニングとは
-
イベント
-
お知らせ
-
イベント
-
イベント
-
お知らせ
-
お知らせ
KnowBe4の各種情報に[取材記事]
【最大の脆弱性「人」をどう改革する?働き方の変化で問い直されるセキュリティ】を追加しました。
「人の脆弱性」を狙うサイバー攻撃が増加、金銭被害も甚大に
もはやセキュリティ製品では
守り切れないような被害が
サイバー攻撃者は常に新たな攻撃手法を模索し、有効と思われる攻撃を強化、進化させていきます。しかも、最近ではサイバー攻撃者の組織化が進んでおり、より効率的なサイバー攻撃の“開発”に取り組んでいます。国家が支援するサイバー攻撃者グループもあり、潤沢な予算による高度なサイバー攻撃も行われています。
このような状況の中で急激に攻撃、被害ともに急増しているのが、騙したり、なりすましたりという“人の脆弱性”を狙うサイバー攻撃です。主にメールが使用され、実在する組織や人物を騙る上にマルウェアを使用しないものが多いので、従来のセキュリティ対策をすり抜けてしまいます。
新型コロナウイルスに便乗し、在宅を狙った詐欺メールの増加
在宅で緩む、サイバー攻撃への
対応力
昨今は、新型コロナウイルスの感染拡大に便乗した悪質な標的型メールや、在宅環境を狙った悪質なサイバー攻撃も確認され、一般財団法人 日本サイバー犯罪対策センターや厚生労働省からも注意喚起が出されています。
在宅環境特有の周囲に直ぐ相談できずに開いてしまう不審メールにご注意願います。
国立感染症研究所・自治体・ネット通販大手等を装う詐欺メールが確認されており、10万円給付金等の対応でも今後増加予想もあります。
今求められている事は?
▶ 直ぐに解決策を見たい方はこちらをクリック
「情報セキュリティ10大脅威 2020 (組織)」
引用:IPA(情報セキュリティ10大脅威2020)
・
・
・
・
・
1位標的型攻撃による機密情報の窃取
ターゲットの機密情報等の窃取を目的とし、PCをウイルスに感染させ、組織内部へ潜入する標的型攻撃。従業員が悪意あるメールの添付ファイル、リンクを開かせる
※引用:IPA(情報セキュリティ10大脅威2020)より
2位内部不正による情報漏えい
従業員が破壊処理予定の HDD を転売した事件が記憶に新しい。人的管理及びコンプライアンス教育の徹底による対策が求められる
※引用:IPA(情報セキュリティ10大脅威2020)より
3位ビジネスメール詐欺による金銭被害
ビジネスメール詐欺は、国内外の取引先や自社の役員等を装ったメールで、企業の出納担当者を騙して、攻撃者が用意した口座へ送金させる詐欺
※引用:IPA(情報セキュリティ10大脅威2020)より
5位ランサムウェアによる被害
攻撃手口としては、
・メール感染:添付ファイルや本文のURLを開かせることで感染
・ウェブサイトから感染:予め攻撃者が改ざんしたWebサイトを用意し、閲覧させる
・脆弱性の悪用:ソフトウェアの脆弱性が未対策のままの端末を感染
※引用:IPA(情報セキュリティ10大脅威2020)より
7位不注意による情報漏えい
組織や企業において、情報管理体制の不備や情報リテラシー不足等が原因となり、従業員が個人情報や機密情報を漏えいしてしまう事例が 2019 年も多く見られた。漏えいした情報が悪用される二次被害が発生するおそれもあるため、十分な対策が求められる。
※引用:IPA(情報セキュリティ10大脅威2020)より
セキュリティ意識レベルの向上とセキュリティカルチャーの醸成の必要性
セキュリティ志向の文化が根付いていないため、
従業員が好奇心や無気力な衝動になる
フィッシング詐欺の餌食になる可能性が。
2019年、フィッシング対策協議会への報告件数
55,787件
フィッシングサイトの稼働が確認されている
金融機関も多く
29機関以上ございます※
※ フィッシング対策協議会ホームページ 2019年12月26日時点の情報
(https://www.antiphishing.jp/news/alert/phishbank_20191226.html)
従来のセキュリティ対策は、ファイアウォールなどで言うところの
ネットワーク層やアプリケーション層など7つのレイヤーで
サイバー攻撃を検知、防御してきました。
しかし、
従来の対策では「人を騙すタイプ」の
サイバー攻撃から守ることはできません。
新たに「人のセキュリティ意識」という
8つ目のレイヤーが必要なのです!
セキュリティ対策における第8層
「ヒューマンファイアウォール」を形成
「人」をファイアウォールにすることにより、
セキュリティ対策製品をすり抜けてきた攻撃を
防御できるようにする
セキュリティ意識向上層に求められる「2つのポイント」
8つ目のレイヤーであるセキュリティ意識向上層を効果的に機能させるためには、2つのポイントがあります。 それは「セキュリティ意識レベル」と「セキュリティカルチャー」で、それぞれに7つの要素があります。
セキュリティ意識レベル
セキュリティ意識レベルは、それぞれの要素についてセキュリティを意識する、あるいは正しいセキュリティ知識を身につけること。具体的には以下が挙げられます。
- ●電子メールセキュリティ
- ●IT管理者への報告
- ●インターネット利用
- ●モバイルデバイス
- ●パスワードと認証
- ●セキュリティ意識レベル
- ●ソーシャルメディアの使用
セキュリティカルチャー
「何らかの行動をする際には常にセキュリティを意識する」ということを企業に属する全員が行う。つまり企業文化として根付かせるということです。
- ●態度
- ●行動力(ふるまい)
- ●認知力
- ●コミュニケーション力
- ●コンプライアンス・ポリシー遵守
- ●規則、規範意識力
- ●個人の責任感
セキュリティ意識向上トレーニングの変化
対策の変化と、いま求められる対策
五世代目に至った経緯
第一世代
テクノロジー(セキュリティ対策製品)に依存
第二世代
集合研修 パワーポイント資料(独自コンテンツ制作または外部委託)
第三世代
勉強会方式、セキュリティ教育ビデオ、eラーニング受講
第四世代
標的型攻撃訓練メール配信システム(年に1回)ランサムウェア対策
第五世代
ヒューマンファイアウォールアプローチ (New School: 定期的、継続的な自動化運用)
- 1:オンラインで全社員を教育(学習と体験を重視、セキュリティを第一のマインド形成にする)
- 2:フィッシング詐欺攻撃、本番さながらの疑似演習体験とテンプレートのカスタマイズ
- 3:訓練メールとセキュリティ教育を連携、自動化(IT管理者の負担を大幅に軽減)
- 4:結果をスコアで数値化(受講者、部署、全社レベル)
- 5:テスト結果に基づく、グループ化と教育プログラムのカスタマイズ化
- 6:フィッシング詐欺ヒット率の可視化と同業他社との比較(ベンチマーク)
- 7:リスク削減効果の測定
新しいセキュリティ意識向上トレーニングが求められているのか?
4つの効能が組織を変える
セキュリティを第一のマインドセットに形成する意識改革が急務
日々求められるセキュリティ上の判断に社員ひとりひとりの的確な意志決定を可能にする
ひとりひとりにセキュリティカルチャーを醸成(ヒューマンファイアウォールを形成)
IT管理者へ「報告」できる社員
第5世代のトレーニングプラットフォーム「KnowBe4」とは
充実した教育コンテンツをベースとした戦略
米国のKnowBe4社は、第5世代のトレーニングプラットフォーム「New School」を提供しています。
KnowBe4の由来は「Know Before」、つまり“やられる前に知る”ことです。
8つ目のレイヤーである「人」は騙されやすく、うっかりミスを起こしやすい、実は最も脆弱なレイヤーで、サイバー攻撃者はここを突いてきます。KnowBe4では、こうしたヒューマンエラーの克服に取り組んでいます。
セキュリティ意識向上トレーニングと
フィッシングシミュレーション・分析を組み合わせた「世界最大の統合型プラットフォーム」
- ▶教育コンテンツ:1,100種類以上
- ▶多言語対応 :30ヶ国の言語対応(日本語対応)
- ▶フィッシング詐欺メールテンプレート:4,700種類以上
「KnowBe4」の3つの特長
「セキュリティ意識向上トレーニング」と「フィッシング攻撃のシミュレーション」を
組み合わせた世界最大の統合型社員教育プラットフォーム
従来の社員教育は、eラーニング等を使った社員教育、標的型Mail訓練など、それぞれ別々に実施してました。KnowBe4は、① 社員教育プログラム (TRAIN)、② 模擬攻撃の実施 (PHISH)、③ 分析・効果測定 (ANALYZE)を1つのプラットフォーム上で一元管理し実施致します。これにより今まで把握できなかった「個人」、「部署」、「組織」それぞれのリスクレベルを可視化し、そこから最適な教育プログラムを作成する事ができます。必要な教育の最適化を行い、従業員のセキュリティ意識の向上に寄与します。
▶▶ 詳細は、
「ヒューマンファイアウォールを形成する流れ」へ
従来
内容によって実行部署が異なり、管理がバラバラ
KnowBe4 導入後
一元管理が可能!効果測定と教育プラグラムの見直しが簡単!
動画コンテンツを軸にした「新しい学び方」を提供
従来のセキュリティ教育のコンテンツは、静止画を基本としていましたが、KnowBe4では、動画による教育コンテンツを中心とし、受講者のモチベーションを高める工夫がなされています。
従来
静止画を中心とした教育コンテンツに退屈
KnowBe4 導入後
映画さながらの動画による教育、モチベーションもUP!
年間サブスクリプション・モデルでの提供
教育コンテンツやフィッシング攻撃などのサービスは、期間内であれば無制限で利用可能。
必要な人に必要な教育を継続的に提供可能です。
従来
SNSやクラウドなど、テーマ毎にコンテンツを
作成する必要あり。Mail訓練も回数制限あり。
KnowBe4 導入後
多言語対応した1,100種類以上の最新のコンテンツが見放題!
4,700種類以上のフィッシングMailテンプレートも
期間中、何回でも使い放題!
ヒューマンファイアーウォールを形成する流れ
3つを自動化し、効果を測定
定期的に実施することで
被害リスク低減を可視化
ポリシーに基づき、個人、
組織に適切な教育コンテンツを設定
導入効果
KnowBe4の価値とROI
- ● フィッシング詐欺ヒット率(PPP)を数値で可視化するレポート
- ●定期的に実行、12ヶ月後その効果を測定
<フィッシング詐欺ヒット率の推移>
19の異なる業種の18,000社 900万人の従業員、2千万回以上の模擬フィッシングセキュリティテスト結果より
定期的に実施することで
被害リスク低減を可視化
ポリシーに基づき、個人、組織に
適切な教育コンテンツを設定
127% ROI
※米国フォレスター調査
Forrester TEI: Total Economic Impact
KnowBe4 会社概要
| 所在地 | (本社)米国フロリダ州クリアーウォーター |
|---|---|
| 設⽴ | 2010年に米国フロリダ州、タンパベイで設立 |
| 従業員数 | 全世界 501-1,000人 |
| 顧客数 | 32,000社以上 |
| 成長 | 27回、四半期連続2ケタ成長 |
| CHO |
世界で最も有名なセキュリティスペシャリスト、Kevin Mitnick 2019年度マジッククアドラントで3年連続リーダー |
-
起業家、トップ企業文化
153社中、第3位(2017年)
-
Cybersecurity注目企業
500社中、第2位(2018年)
-
急成長会社トップ500社中
第96位(2018年)
-
フォレスターが選ぶ
WAVEリーダーに
KnowBe4の評価
画像をクリックすると詳細ページ
(外部リンク)が開きます
KnowBe4の成長性
ユニコーン企業(※)として全世界から注目
※評価額が10億ドル以上の未上場のスタートアップ企業
27回連続、四半期2ケタ成長。
KnowBe4 本社
KnowBe4のCHO「Kevin Mitnick」とは
世界で最も有名なセキュリティスペシャリスト、
Kevin MitnickがCHO(Chief Hacking Officer)として活躍
“多額な費用をかけてテクノロジーやサービスを購入しているが、ネットワークインフラは依然として昔ながらの巧妙な手口には脆弱のままである。”
— Kevin Mitnick (ケビン・ミトニック)
紹介動画
セキュリティ業界の「Netflix」と称されるKnowBe4のセキュリティ教育動画です。
※「新しい学び方」を提唱するセキュリティ意識向上トレーニングがいかに楽しいものかご確認ください。
作品名:「The Inside Man」外部から忍び寄る内部犯行(日本語吹替予告編)
世界で急成長しているセキュリティ意識向上サービス「KnowBe4」の紹介です。
各種情報
サービス紹介・ホワイトペーパー
-
アルテア・セキュリティ・コンサルティング二木真明 氏 執筆による【セキュリティ文化を考える】
企業・組織のICT利用における「人」に着目してリスクを下げる方法を考えます。※クリックすると概要確認できます。(資料請求も可能)
-
ISIDオリジナルの「KnowBe4」ソリューションについてのカタログです。
※クリックすると全ページ確認できます。
メーカー資料
-
「人」の脆弱性をつく攻撃に対応するには?「Human Firewall」を形成する方法【過去セミナー動画公開】
「人」を狙うサイバー脅威とどう戦いますか? 社員一人ひとりにHuman Firewallを根付かせるセキュリティ意識向上トレーニングとは? 実用的なフィッシング演習テンプレートと動画を中心とした意識改革のセキュリティ教育コンテンツのデモを交えてご紹介します。
-
KnowBe4:CEO詐欺防止マニュアル
ますます巧妙化するCEO詐欺にどのように対処すべきをまとめたものです。また、CEO詐欺/BECについての最新の定義、最新の統計データ、発生事例/動向に加え、被害発生時の初動対応についても記述しています
-
今、世界が認めるマーケットリーダーへ
「KnowBe4」についてのメーカーカタログです。
※クリックすると全ページ確認できます。 -
業界別フィッシングベンチマーキングレポート2020
本レポートは、KnowBe4 が毎年実施している業界別にフィッシング詐偽ヒット率(PPP)の調査をまとめたものです。※クリックすると概要を確認できます(資料請求も可能)。
ビジネスメール詐欺(BEC)
ビジネスメール詐欺(BEC:Business Email Compromise)は、サイバー攻撃者が企業の経営層などになりすまして指示するメールを別の部署に送り、金銭や重要な情報を盗み出す手口です。BECでは、サイバー攻撃者が標的とする企業の経営層などのメールを盗み見し、経理などへ送金指示のメールが送信されたタイミングを見計らって、送信者になりすまして送金先の銀行口座を変更する指示のメールを送ります。この口座が実はサイバー攻撃者の口座というわけです。被害金額が非常に大きく、日本でも航空業界で約3億8千万円の被害が発生しています。
巧妙化するフィッシング詐欺
実在するシステムやサービスを騙り、偽のログイン画面に誘導してIDとパスワードといったログイン情報を盗み出す手法がフィッシング詐欺です。特定の標的になりすましメールを送るBECとは異なり、フィッシング詐欺のメールは不特定多数に送信されます。メールには「利用しているシステムに不正アクセスが発生した」「新たなセキュリティ対策を導入した」などと書かれており、ログインして確認するようにと、偽のログイン画面へのリンクが貼られています。そこでログイン情報を入力してしまうと、サイバー攻撃者に盗まれてしまいます。宅配便の不在配達通知や、商品の購入確認など、冷静さを失わせるような文面も増えています。
マルウェア「Emotet」の手法
2019年に急激に被害が拡大したマルウェア「Emotet」も、人を騙す手法を取り込んでいます。感染すると、被害者のPCにあるメールを盗み出し、その送信先や件名、文面などを次のメールに利用します。メールは不特定多数に送られる「ばらまき型」ですが、実在の企業や人物になりすましているので、添付ファイルを開いてしまいがちです。添付ファイルはマクロを使用したOfficeファイルで、マクロを有効にすることで感染します。感染するマルウェアはさまざまで、ランサムウェアやバンキングマルウェア、マイニングマルウェアなどの感染事例が確認されています。
①社員教育プログラム
(TRAIN)
グローバルに対応したセキュリティ意識向上トレーニング
語対応による「全社レベル」でのセキュリティ文化の醸成
デバイスを問わない、
1,100種類以上の
充実した教育コンテンツが
受講し放題です。
受講者を飽きさせない
映画さながらの
動画もございます。
最新の
サイバー攻撃を
意識した
充実の教育コンテンツを
ご用意しております。
②模擬攻撃の実施
(PHISH)
豊富なテンプレートを活用し、「本番さながらの攻撃」疑似体験(ソーシャルエンジニアリング被害模擬体験)。
社員、部署ごとにレベルに合わせた教育メニューを策定。
Phish Alertボタン(無償提供)を使い、何かあったら報告する文化醸成
※不審メールは、開かない/クリックしないから「報告」へ
本番さながらの
攻撃シュミレーションを体験。
攻撃テンプレートを使って、難易度や対象も柔軟に設定可能。
クリックしてしまった場合も
柔軟に画面を設定可能。
Phish Alertボタン(無償提供)を使い、
「何かあったら報告する」文化醸成
※不審メールは、開かない/リックしないから「報告」へ
③分析・効果測定
(ANALYZE)
是正学習を可能とする効果測定と、きめ細やかなレポーティング
詐欺メールに引っかかった
「フィッシング詐欺ヒット率」
の推移を分析。
柔軟な分析レポート
も表示可能。
