パフォーマンスの低いセキュリティ教育プログラムが犯す最大の過ちの一つは、すべてのユーザーが同じ方法でセキュリティに影響を与えるかのように、セキュリティ意識向上トレーニングを扱ってしまうことです。ユーザーは役割や知識レベルに関係なく、全員が全く同じトレーニングを受けます。
しかし実際には、特定のパワーユーザーや特定の役割を持つ人々は、その業務内容や利用するシステムの性質上、はるかに大きなリスクをもたらします。経営幹部、開発者、DevOpsのプロ、財務担当者など、これらの専門的かつ特権的なユーザーは、最も機密性の高いデータにアクセスできるだけでなく、日常業務で新しいテクノロジーを利用する可能性も高いのです。効果的なエンドユーザー向けセキュリティ意識向上トレーニングプログラムは、これらのパワーユーザーを、専門家が「保護的な管理者」と呼ぶ存在へと変えます。
「保護的な管理者とは、組織を守るためにできる限りのことをしているユーザーです」とCognitive Security Instituteのエグゼクティブディレクター、マシュー・カナム博士は述べています。これらの従業員は攻撃の被害者にならないだけでなく、積極的にセキュリティ部門に不審な活動を報告する人たちでもあると彼は説明します。
パーソナライズがすべて
ハイリスクな従業員を保護的な管理者へと変える最初のステップは、パーソナライズされたトレーニングの重要性を認識することです。次世代のセキュリティトレーニングプログラムは、決して「一律」のコンテンツをユーザーに提供しません。非常に効果的なトレーニングは、非常にパーソナライズされています。
「パーソナライズとは、全員が自分専用のトレーニングプログラムを持ち、それが役割や能力、そしてそのポジションに対する最新の脅威に応じて動的に更新されることを意味します」とカナムは言います。例えば、財務担当者はビジネスメール詐欺の手口を見抜くための追加トレーニングが必要かもしれませんし、開発者は安全なコーディングや、システムの安全なプロビジョニング、シークレット管理、エージェント型AIの業務活用方法について学ぶ必要があります。
カナムは、米国国立標準技術研究所(NIST)のPhish Scaleが、組織が特定のユーザーグループ向けにトレーニングや効果測定をカスタマイズするための、小規模ながら管理しやすい方法の好例だと述べています。このツールはフィッシング手法の内容や状況を考慮し、異なるユーザーグループに合わせてフィッシングトレーニングやシミュレーションをカスタマイズするのに役立ちます。
「攻撃の手がかりを見るだけでなく、その攻撃やフィッシングメールがターゲットにどれだけ合致しているかも見る必要があります」と彼は説明します。「人事部の誰かは、カスタマーサービスや営業の人が受け取るようなフィッシングメールには反応しません。」
コンテンツだけでなく、トレーニングの提供方法もパーソナライズされるべきだと、CybSafeのサイエンス&リサーチディレクター、ジェイソン・ナース博士は言います。高パフォーマンスの組織には、より多くの選択肢とパーソナライズが必要です。なぜなら、例えば一部の従業員は動画よりもテキストで学ぶ方が効果的だからです。彼は、先進的なトレーニング専門家がマーケターの手法を参考に、さまざまなトレーニング手段でよりパーソナライズされたメッセージを提供し始めていると説明します。
「個人の行動変容を促すために関与する際、物事をカスタマイズすることは本当に重要です」と、ケント大学サイバーセキュリティのリーダーでもあるナースは述べています。
ただし、パーソナライズとユーザーごとのトレーニングを追求する際には、ユーザーのプライバシーや収穫逓減の法則への配慮とのバランスを学ぶことがコツだと、Darktraceの行動科学者でセキュリティ&AI戦略担当副社長のマーガレット・カニンガム博士は述べています。
「人間のリスクプログラムを過剰に設計することには注意してください。感受性を予測するために個人データを深くプロファイリングし収集することは、プライバシー侵害であるだけでなく、効果もありません」と、応用実験心理学の博士号を持ち、セキュリティ運用の行動介入で長年の経験を持つカニンガムは述べています。「どんなセンサーやアルゴリズムでも捉えられない状況要因は常に存在します。」
アンチフィッシングやMFAトレーニングを超えて
非常に効果的な人的リスク管理プログラムは、従来のフィッシング防止や多要素認証(MFA)の導入促進だけでなく、より幅広いトレーニングをユーザーに提供します。従業員が関与する他にも多くの行動がサイバーリスクを高めている可能性があります。特にハイリスクなポジションの従業員向けには、その現実に合わせたセキュリティトレーニングが不可欠です。
先進的なセキュリティトレーニングプログラムは、財務担当者が規制データをどのように扱うか、IT運用がクラウドストレージをどのように構成するか、機密施設へのアクセス権を持つ従業員がドアを通過する際に他人を後ろから入れてしまうかどうかなど、他の重要な行動に関するトレーニングも含めて視野を広げています。
ナースは、CybSafeのチームがこれを何年も前から提唱してきたものの、多くのセキュリティ意識向上トレーニングプログラムは単一の機能しか持たないことが課題だと述べています。フィッシングメールをクリックしない、MFAを有効にするなどの行動管理は、例えば経営幹部が出張時に信頼できないネットワークを使わないようにすることに比べれば、非常に簡単です。
「簡単だからといって、いつまでもそれだけに頼るべきではありません」とナースは言います。「サイバーセキュリティの人的側面に関して、私たちが測定し、考え、注目し、何らかの形で考慮すべき行動は少なくとも101種類あります。」
CybSafeのチームは、ユーザーの行動をインパクト、脅威アクターの戦術、MITRE ATT&CKのようなセキュリティフレームワークとマッピングするSebDBというオープンソースのセキュリティ行動データベースの開発に取り組み、業界をこの方向に推進しようとしています。目標は、人的リスクプログラムをより幅広い行動目標に基づいて標準化されたフレームワークにアクセスできるようにすることです。
強力な技術的ガードレールでトレーニングを補強する
優れたトレーニングコンテンツやメッセージも重要ですが、本当にリスク回避的な行動を促進する文化を築くには、それらのメッセージを行動支援で補強する必要があります。
「未来は、人間とテクノロジーが連携し、最小権限、安全なデフォルト、エラー耐性のあるアーキテクチャ、低摩擦の報告体制を備えたレジリエントなシステムです」とカニンガムは述べています。「それに加えて、ヒヤリハット報告を奨励し、ミスを失敗ではなく学びの機会として扱う文化が必要です。」
組織は、ユーザーがシステム、アカウント、データとやり取りする際に安全な選択をできるだけ簡単に行えるよう、適切なガードレールをシステムに直接組み込むべきです。
「意識は非常に重要ですが、意識は行動変容の一要素にすぎません」とカナムは言います。「技術的なコントロールを導入しなければならない場面もあります。」
これは、カナムが「ミス」と「スリップ」の違いと呼ぶもの、つまり心理学者ジェームズ・リーズンが航空業界向けに開発したヒューマンエラーモデルに基づく長年の理論におけるギャップを埋める助けとなります。
「ミスは状況に対する誤ったメンタルモデルに基づいており、これは意識向上トレーニングで改善できます。しかしスリップは、例えば片手にゴミ、もう一方に鍵を持って部屋に入り、誤って鍵をゴミ箱に捨ててしまい、ゴミをカウンターに置いてしまうようなものです」と彼は言います。「トレーニングではスリップを防ぐことはできず、ここで技術的コントロールが非常に重要になるのです。」
ガードレールは、特に開発者、ITオペレーター、DevOpsチームのような、スピード感のある環境で機密性の高いシステムを管理する人々にとって極めて重要です。これは以前からそうでしたが、今ではAIエージェントを活用して業務効率化を求められるようになり、その状況はさらに深刻化しています。AIエージェントは独立して行動し、システムのセキュリティやレジリエンスに大きな影響を与える可能性があります。
ユーザーをセキュリティ運用のフィードバックループに統合する
十分なトレーニングを受けた従業員は、組織の目と耳となり、迅速に進行する脅威に素早く対応できるようになります――ただし、彼らに報告手段と動機を与えることが前提です。
「保護的な管理者からよく聞く不満の一つは、セキュリティ部門にフィードバックを送っても、それがまるでブラックホールに消えてしまうことです」とカナムは言います。
脆弱性開示プログラムと同様に、単にウェブサイトに報告用メールアドレスを掲載するだけでは不十分です。優れたセキュリティチームは、これらのメッセージを読む担当者を配置し、返信し、検知・対応チームのワークフローにこれらの問題を組み込む必要があります。
そして、真に循環するフィードバックループにするためには、開発、財務、あるいはCEOのオフィスなど、専門的な視点を持つユーザーからセキュリティチームに提供された情報を、将来の技術的コントロールや次世代のセキュリティトレーニングコンテンツを推進する脅威インテリジェンスに組み込むべきです。
