海の向こうの“セキュリティ”
企業・組織のリテラシー向上のために何ができる? 9人のセキュリティ専門家がアドバイス
2023年12月7日 11:50
有名企業のCISOなど9人のセキュリティ専門家からのリテラシー向上のためのアドバイス
米国では2004年以来、毎年10月は「Cybersecurity Awareness Month(サイバーセキュリティ啓発月間)」とされ、官民が協力してサイバーセキュリティの重要性に対する認識を高めるための活動をしており、2023年で20回目となりました。これに合わせ、セキュリティメディア「Dark Reading」は、有名企業のCISOなど、9人のセキュリティ専門家のアドバイスをまとめた記事「9 Innovative Ways to Boost Security Hygiene for Cyber Awareness Month(サイバー啓発月間にセキュリティ衛生を高める9つの革新的な方法)」を公開しました。
- Dark Reading(2023年10月21日)
9 Innovative Ways to Boost Security Hygiene for Cyber Awareness Month - https://www.darkreading.com/edge/9-innovative-ways-boost-security-hygiene-cybersecurity-awareness-month
実際にはタイトルほど「革新的」と言えるほどの内容ではありませんし、専門家によっては視点が少々偏っているため「アドバイス」としては疑問の余地もあります。それでも「企業や組織における事例の紹介」や「ある専門家の一意見」としては十分に参考になるところがありますし、少なくとも何らかのヒントにはなるはずですので、今回はその内容を簡単に紹介します。なお、一部の抜粋や要約に過ぎませんので、詳細については元の記事をご覧ください。
9人のセキュリティ専門家は以下の方たちです。
・Window Snyder氏 Founder and CEO, Thistle Technologies ※開発者向けセキュリティベンダー
・Kurt John氏 CISO Expedia Group ※旅行テクノロジー企業
・Bruce Schneier氏 Security Technologist & Author ※セキュリティ研究者、作家
・Phil Venables氏 CISO, Google Cloud ※IT企業
・Dave Lewis氏 Advisory CISO, Cisco ※IT企業
・Fred Kwong氏 CISO, DeVry ※営利大学
・Rob Duhart氏 Deputy CISO, Walmart ※小売企業
・Pat Opet氏 CISO, JPMorgan Chase ※金融サービス企業
・Tennisha Martin氏 Founder and Executive Director, BlackGirlsHack ※サイバーセキュリティトレーニングの非営利団体
今回のDark Readingの記事は、上記9人の専門家に対して以下の質問をして得られた回答をまとめた内容となっています。
「従業員、サプライヤー、パートナーのセキュリティリテラシーを、新しく革新的な方法で向上させたいと考えているセキュリティチームに対する、あなたからの1番のアドバイスは何ですか?」
それぞれの専門家の回答は以下のようになります。
1. 勝利のためのガードレール(Guardrails for the Win) - Window Snyder氏
クリックしても安全かどうかをユーザーが見極めることを期待するのではなく、より安全な設計(セキュア・バイ・デザイン)のプラットフォームをユーザーに提供すべき。そのためにアプリケーション開発者はメモリセーフなプログラミング言語を使うべき。
問題は彼らが何かをクリックしたことではなく、ユーザーのタスクを実行するのに必要とされるレベル以上の能力(capability)を有したアカウントを持っていることだ。
2. 「セキュリティ・チャンピオン」の称号を与えよう(Crown a 'Security Champion') - Kurt John氏
組織内でサイバーセキュアな行動をボランティアで推進する従業員を、「セキュリティ・チャンピオン」として任命することを推奨。このような草の根的な支援運動(advocacy)のアプローチにより、組織内にセキュリティ文化が自然に醸成される。
社内の異なるグループ間のコラボレーションを促進するローテーションプログラムもよい。そのプログラムでは、ビジネスユーザーが一時的にセキュリティチームの一員となり、かつその逆も行なう。
セキュリティ担当者とセキュリティ担当者以外の従業員やリーダーを計画的かつ注意深くペアリングすることで、企業全体にわたって、より豊かなコラボレーションと互いのスペースに対する深い理解を促進することができる。
3. 何をするにしても、「そのURLはクリックするな」とは言うな(Whatever You Do, Don't Say 'Don't Click on That URL') - Bruce Schneier氏
「URLをクリックするな」というのはひどいアドバイスだ。URLで他に何をしろというのだ。もっとひどいのは、「変なUSBメモリをコンピュータに挿すな」というものだ。なんでだよ? USBスティックはそのためにあるんだ。
従業員のオンライン上での行動に意味のある変化を求めるのであれば、組織はシンプルで分かりやすく、実行可能なセキュリティ指導を行うべきである。「手を洗いましょう」、「コンドームをつけましょう」、「フェイスマスクをつけましょう」といった公衆衛生のアドバイスは、いずれも単純な行動変容である。その理由は文章で説明できる。そして、その行動は明らかに問題と結びついており、明らかに理にかなっている。
4. パスキーでパスワードレスに踏み出そう(Step Into Passwordless With Passkeys) - Phil Venables氏
最大のセキュリティ上の課題は依然としてパスワードに関するものである。パスワードを完全に排除し、使いやすくフィッシングにも強いパスキーに置き換えることを推奨。
5. セキュリティ債務を返済しよう(Pay Down That Security Debt) - Dave Lewis氏
テクノロジーに関連する組織全体のセキュリティ債務の負荷を見直すことを推奨。セキュリティ債務とは、組織のテクノロジースタックに存在する脆弱性のことで、時間の経過とともに蓄積され、データやシステムを攻撃から守ることを難しくしている。セキュリティ債務の一例としては、セキュリティ更新が受けられなくなったレガシーソフトウェアを運用していたり、機能が破壊される可能性があるためソフトウェアコンポーネントを更新していなかったりすることが挙げられる。
6. セキュリティの基本を奨励するためにゲーミフィケーションを試そう(Try Out Gamification for Encouraging Security Basics) - Fred Kwong氏
トレーニングの実施方法に関しては創造的であることが重要。年に一度のオンラインクラスでは不十分。
脱出ゲームのシナリオを作るとする。例えば、パスワードのクラッキングに関するパズルを作ることができる。疑わしいリンクやコンテンツを選んで使用することで、必要なヒントを見つけることができる。サイバーセキュリティ啓発トレーニングをゲーミフィケーションで変えることで、必要不可欠なレッスンを魅力的な課題にすることができる。それは従業員を教育するだけでなく、従業員が知識を定着させるのに役立つ。
7. まずマインドセットに焦点を当てよう(Focus on Mindset First) - Rob Duhart氏
セキュリティ文化の醸成こそが重要。技術的な展開や変更に先立ち、セキュリティの考え方を積極的に浸透させることにも注力する。その取り組みの中には、従業員全員とセキュリティについて議論することや、全社的に技術を採用すべき理由についても含まれている。
まずマインドセットに焦点を当てることで、コラボレーションが強調され、ビジネスがスピーディに革新できるようになり、そしてセキュリティファーストの文化が醸成されることで本質的にセキュアな設計が推進される。
8. 全員にサイバーセキュリティの責任を持たせよう(Hold Everyone to Account for Cybersecurity) - Pat Opet氏
説明責任(アカウンタビリティ)を高めるためにサイバーおよび詐欺の脅威インテリジェンスも活用。
自社独自の脅威インテリジェンスのプラットフォームを使ってサプライヤーの境界防御の弱点を特定し、関連するパートナーに通知、発見事項と弱点の背景を完全に共有し、サプライヤーが問題に対処するのを支援。
このような行動指向のプロセスは、サプライヤーに対して、より高いレベルの説明責任を課すことになり、ひいてはエコシステム全体に利益をもたらす。
9. 学ぶ機会を提供しよう(Provide Opportunities to Learn) - Tennisha Martin氏
人材の育成、開発、誘致は、単なる戦略ではなく、企業のセキュリティを支える生命線であり、明日の保護を保証するものである。重要なセキュリティの役割を果たすための需要の高まりに対応するためには、リーダーが実地訓練や学習の機会を提供することが不可欠である。
「アドバイス」の内容には9人のセキュリティ専門家それぞれの立場がはっきりと現れており、特に事例の中には、一般化しにくく、他の企業や組織では実現できないだけでなく、そもそもそこまでのレベルは必要とされていないと思えるものもあります。また、細かいことを言えば、「セキュリティ・ファースト(security-first)」という表現には、意図は分かるものの、「セキュリティ原理主義につながる危うさ」を感じます。
それでも、何らかのヒントにはなるはずですし、中でも著名なセキュリティ研究者であるBruce Schneier氏のアドバイスは、企業や組織に限らず、一般的な「情報セキュリティ教育」の本質を突いたものだと言えるでしょう。うまく活用してください。
- CISA
Cybersecurity Awareness Month - https://www.cisa.gov/cybersecurity-awareness-month