コンテンツにスキップ

ヴィクトール・カウンによるイラスト

カジノサイト 男にフィッシングを教える

ミーガン・ゲイツ著
2015 年 9 月 1 日

印刷問題:2015 年 9 月

受信箱にフィッシングメールが届いたら、それを見分けることができると思いますか?確率はあなたに有利ではありません。インテル セキュリティの最近のクイズでは、世界中で調査した 19,000 人以上の人々のうち 97% が、破壊的なフィッシングメールを正しく識別できなかったことが判明しました。

クイズでは、参加者に 10 件の電子メールを正規かフィッシングの試みであるかを特定するよう求めました。特に成績が良かった年齢層はありませんでしたが、最も成績が良かったのは 34 歳から 44 歳の年齢層で、平均 68% が正しく識別されました。 

インテル セキュリティの主任消費者セキュリティ エバンジェリストであるゲイリー デイビス氏は、電子メールのリンクを「狂ったようにクリックしている」可能性のある若い回答者とは対照的に、この年齢層は電子メールを読むときに「より良心的で、より多くの時間を費やしている」と示唆しています。米国全体も苦戦し、フィッシング検出能力では 27 位となり、26 位のカナダに次ぐ結果となりました。デイビス氏は、フランス、スウェーデン、ハンガリー、オランダ、スペインの成績が最も良かったと述べ、ヨーロッパ諸国は北米諸国よりも安全保障を意識する傾向があると説明した。 

悪意のある電子メールを識別できないことは、個人のユーザーだけでなく、企業のセキュリティにも問題を引き起こします。 BakerHostetler データ セキュリティ インシデント対応レポート 2015 によると、企業侵害の原因は人的ミスであることが最も多く、主な攻撃方法はフィッシングとスピア フィッシングです。

「2014 年に発生した多数のインシデントには、主な根本原因の一部として従業員の過失が含まれており、企業がより優れたテクノロジーを使用するだけではセキュリティ リスクを根絶できないことが証明されています」と報告書は述べています。 

では、企業は確率を均等にするために何ができるでしょうか?スタッフのセキュリティ意識向上トレーニング プログラムを作成することから始めるとよいでしょう。ここでは、トレーニング プログラムを開始するための 2 人の専門家からのヒントを紹介します。セキュリティ意識向上トレーニング会社である Security Mentor の最高セキュリティ責任者である Dan Lohrmann 氏です。 Cisco Systems のチーフ セキュリティ アドボケートであり、Security Ninja プログラムの作成者である Chris Romeo 氏。

1.小規模から始めてください

最初のステップは、トレーニングを通じて何に取り組みたいかを正確に把握することです、とシスコ社内の自主的なセキュリティ意識向上プログラムを設計したロメオは言います。

「シスコには、包括的なエンドツーエンドのセキュリティ トレーニング プログラムがないことに気づきました」と彼は説明します。 「個別のセキュリティ トレーニングは実施していましたが、すべてがまとまった形で組み合わされることはありませんでした。私たちの組織のセキュリティ IQ は、私たちが望んでいたものではありませんでした。」

ロミオと他の 3 人の最初のチームは、その思考プロセスを使用して焦点を絞り、エンジニアリングの観点を使用したアプリケーション セキュリティ意識向上プログラムを作成しました。彼らは、参加者に安全なプロセス構築の基本を教え、これまでのプロセス障害と将来それを回避する方法を説明し、参加者の行動を変えてシスコの製品とそのネットワークをより安全にするプログラムを設計しました。 

チームは焦点を絞ると、アドビのセキュリティ忍者プログラムをモデルにしたセキュリティ意識向上プログラムのパイロット版を計画しました。このプログラムは、格闘技で使用される色帯システムに基づいてトレーニングをスキルレベルに分割します。 

チームは、残りのプログラムを構築する前に、最初のレベルであるホワイト ベルトの作成と開始から始めることにしました。これにより、チームは何が機能しているのか、何が調整の必要があるのか​​を確認できるようになりました。このアプローチにより、セキュリティ部門はより堅牢なプログラムに対する経営陣の支持を得ることができました。これは、Romeo が強く推奨する戦略です。

2.魅力的で楽しいものにしましょう

試験計画の概要を作成した後、従業員が完了したいコンテンツを作成する必要があります。言い換えれば、長い PowerPoint スライド モジュールはおそらく適していません。代わりに、ロミオと彼のチームが行ったアプローチに従い、「完璧なトレーニング クラスがあれば、何が楽しいでしょうか?」と自問してください。

その答えは、参加者にセキュリティについて教えるために、ビデオ、クイズ、実世界の体験でユーモアを取り入れたコンテンツでした。社内で制作されたこのビデオは、セキュリティの専門家が集まってまったく台本なしの方法でトピックについて話し合うため、これまでにプログラムに参加した 20,000 人以上の人々に特に人気がありました。このビデオにより、「本物のセキュリティ担当者が実際のセキュリティについて会話できる」ことが参加者に好評だとロミオ氏は言います。

さらにチームは、シスコの職場で忍者の衣装を着た個人のクリップとともに、セキュリティのメタファー (『マトリックス』や『オフィス スペース』などの映画の短くユーモラスなパロディー) をトレーニング モジュールに織り込みました。 「これは、私たちのブランドと市場を結びつけ、ちょっとした楽しみを加える単なる方法でした」とロミオは言います。 

トレーニングを楽しく魅力的にすることが重要だとローマン氏は言います。彼は、ビデオ以外にも、ゲーミフィケーションを使用して、トレーニングを完了した後に人々の記憶に残るコンテンツを作成することを提案しています。たとえば、空港での紛失物に対処するモジュールでは、空港内で携帯電話を紛失した場所のトップ 10 を見つけるように求めるゲームを作成できます。 「思い出に残るものにしてください。単に『携帯電話を失くさないように』というだけではだめです」とローマン氏は勧めます。

3.短く、小さくしてください

コンテンツと形式を決めたら、モジュールが 20 分を超えないように編集することをお勧めします。 「コンテンツを編集して削減し、適切なレベルにします」と彼は説明し、コンテンツを削減するのにサポートが必要な場合は、制作チームまたはマーケティング チームに助けを求めると付け加えました。

配信を短くすることで、参加者がモジュール全体を視聴または完了する可能性が高くなり、モジュールを定期的に更新できます。 

「毎月 10 分程度の短いトレーニングを提供し、年間を通じて継続して実施するようにしてください」とローマン氏は言います。 「情報が変更された場合、または新しいテクノロジーやトレンドがあった場合には、トレーニングは定期的に、少なくとも年に一度、更新される必要があります。」

4.助けを求めてください

コンテンツの作成に本当に苦労している場合は、社内に助けを求めることを検討してください。たとえば、シスコには Cisco TV があり、カメラの使い方や映像の編集方法を知っているスタジオや専門家が利用できます。ロメオ氏は、セキュリティ意識向上プログラムの最終コンテンツを開発するには、これらの人々と協力してビデオを作成することが重要であったと述べています。 

Cisco チームにとって非常に難しいと感じたテスト問題の作成に関しては、Romeo は指導設計の専門家を雇って手伝ってもらうことを提案しています。 「誰でもテスト問題を書くことができますが、誰もが良いテスト問題を書けるわけではありません」と彼は言います。

5.エグゼクティブのサポートを受ける

トレーニングを開始する準備ができたら、特にプログラムが必須でない場合は、従業員の参加を促すために経営陣のサポートを受けることが重要です。 

ローマンは、ミシガン州の最高セキュリティ責任者として働いていたとき、職員のセキュリティ意識向上トレーニング プログラムの設計を支援しました。閣議で、ミシガン州知事のリック・スナイダーは、トレーニングを受けた参加者全員に挙手するよう求めたが、誰も手は上がらなかった。スナイダー氏は、ローマン氏の回想によると、その後、「受講しました。気に入っています。多くのことを学びました」と言い、全員にトレーニングを受けて、直属の部下にもトレーニングを完了させるよう期待していると伝えました。

1か月後、別の閣議でスナイダーが訓練プログラムを修了したのは誰かと尋ねると、会場の全員の手が挙がった。スナイダー氏の支援は、セキュリティ意識向上トレーニングに対する幹部の賛同を得るために不可欠であり、それが州政府全体での優先事項となることを保証しました。

同じことが企業の世界にも当てはまり、ロミオは職場で幹部の生来の競争力を活用して参加を促すことを推奨しています。シスコがこれを実現する方法の 1 つは、ダッシュボードを使用して、各部門の誰がプログラムでホワイト ベルト、またはより高度なベルトを達成したかを追跡することです。他の部門が自分の部門よりも先に進んでいるとわかると、経営陣はスタッフにトレーニングへの参加を奨励し、社内の他の部門よりも先を行き続ける可能性が高いと彼は説明します。

さらに、トレーニングに対する経営陣のサポートを確保することで、将来的にトレーニングを継続するための追加資金を獲得したり、他のトレーニング プロジェクトへの資金を確保したりできる可能性が高まります。

6.参加者を表彰する

最後に、プログラムが開始されたら、トレーニングを完了した参加者を認識する方法を見つけます。これは、Cisco のアジア オフィスの参加者の間で非常に人気があるとロメオ氏が言うところの、修了証明書の送付から賞品の授与まで多岐にわたります。

個人に報酬を与えるためにシスコが見つけた効果的な手段の 1 つは、参加者に、達成したベルト レベルに応じた白から黒までのストラップを与えることでした。従業員は勤務中、ストラップに ID バッジを付けることが義務付けられており、セキュリティ意識向上トレーニング用のストラップは、プログラムで自分がどのレベルに達したかを示す簡単かつ効果的な方法となりました。 

「このプログラムは社内で評判になりました」とロミオは言います。 「それを促進したのは認識プロセスだったと考えています。」

arrow_upward