従業員向けのサイバーセキュリティトレーニングプログラムの作成方法（事例付き）

小規模企業はハッカーやサイバー犯罪者の標的にならないという考えは改める必要があります。2023年のITRCレポートによると、小規模企業のオーナーの73%が過去12か月間にサイバー攻撃を経験したと報告しています。これはおそらく、小規模な組織では会社とデータを守るための堅牢なセキュリティ対策を実施していないと攻撃者が考えているためです。

サイバー犯罪者は、さまざまな方法を利用して企業を攻撃しますが、その中でも最もよく使用され、しかも最も簡単であることが多いものの1つに、組織的なフィッシング攻撃やその他のソーシャルエンジニアリング手法を利用して従業員を標的にするというものがあります。

このリスクを最小限に抑えるために、中小企業は、従業員向けのサイバーセキュリティトレーニングプログラムを開発する必要があります。このプログラムにより、一般的なセキュリティリスクに関する教育を従業員に施し、オンラインでの責任ある振る舞いを促進し、攻撃されていると思われる場合に取るべき手順の概要を示します。

社内サイバーセキュリティポリシーの理解

従業員向けトレーニングプログラムを開発する前に、企業はまず、自社のサイバーセキュリティ戦略とともに、セキュリティプログラムを実行する人材、プロセス、テクノロジーを明確に把握しておく必要があります。ここでは、サイバーセキュリティアーキテクチャに不可欠な要素を確認します。

サイバーセキュリティプラットフォームを使用しているか

今日のサイバーセキュリティ市場には、多種多様なソリューションやサービスが存在します。信頼できる評判の良いサイバーセキュリティパートナーは、企業独自のニーズを満たすカスタムツールセットの開発を支援できますが、あらゆるサイバーセキュリティプラットフォームはベースラインとしてアンチウイルス保護から始める必要があります。

インシデント対応計画を策定し、サイバーセキュリティ手順を文書化する

インシデント対応計画とは、データ侵害への備え、検知、封じ込め、復旧のための組織の手続き、手順、義務を説明するドキュメントです。

組織で許可リストに登録されているソフトウェア、プログラム、インターネットソースを文書化する

小規模企業であっても、企業のデバイスやネットワークを使用したり、データやその他の機密アセットにアクセスしたりする従業員向けの明確な利用規定を策定する必要があります。これには、会社のデバイスや企業ネットワーク経由でアクセスが許可されているさまざまなソフトウェアアプリケーション、プログラム、Webサイト、ソーシャルメディアプラットフォームのリスト、およびデバイスとそのデータを保護するために必要な手順を含めます。

このプロセスの一環として、許容されない振る舞いや禁止されているアクティビティを概説することも有益である可能性があります。

サイバーセキュリティトレーニングプログラムの範囲を定義する

サイバーセキュリティトレーニングは、レベル、場所、または職務範囲に関係なく、すべての従業員が完了する必須タスクである必要があります。とはいえ、職務の種類や経験のレベル、場所に基づいて学習プログラムを調整するのが賢明かもしれません。

トレーニングプログラムは、以下の対象者に合わせて調整できます。

• 基本/一般社員：インターネットに接続されたデバイスまたは企業ネットワークにアクセスできるすべての従業員に適した、基本レベルのサイバーセキュリティトレーニング。このコースでは、一般的なサイバー脅威、進行中の攻撃を検知する方法、およびリスクを軽減するための責任あるオンラインでの振る舞いについて確認します。
• 管理職：管理職向けトレーニングモジュールは、マネージャーやスーパーバイザーがチームからの質問に答え、企業のセキュリティポリシーを強制し、リスクの高い振る舞いを特定して軽減し、セキュリティチームと連携するのを支援するように特別に設計されています。
• ITスタッフ：ITスタッフは技術的な事柄については高度なトレーニングを受けていますが、多くはサイバーセキュリティに関して深い専門知識を持っていません。このトレーニングモジュールでは、IT専門家に対して、サイバーセキュリティのベストプラクティスの概要と、会社の既存のサイバーセキュリティツールセットの使用方法に関するトレーニングを提供します。
• リモートワーカー：リモートワークの傾向が進むにつれ、組織は、従業員が個人用ネットワークを使用して公式の業務を遂行する際に発生するリスクから会社を保護するために、追加の措置を講じる必要があります。このプロセスの一環として、組織は、従業員が自宅、パートナーサイト、ホテル、従業員自身が選択した任意の場所などのリモート環境で仕事をするためにどのようなセキュリティ対策を講じる必要があるか、概要をまとめる必要があります。
• 請負業者、フリーランサー、ベンダー：リモートワーカーと同様に、請負業者、フリーランサー、およびベンダーはオンサイトで勤務しないことが多いものの、企業のデバイス、データ、ネットワークへのアクセス権を持っています。これらの個人も、基本的なサイバーセキュリティトレーニングプログラムを完了する必要があります。さらに、会社は、このグループに固有のニーズや制約に対応する特別なモジュールの開発を検討することもできます。

トレーニングプログラムの計画：どのようなトピックを含めるべきか

トレーニングプログラムでは、一般的かつ重大なサイバー脅威を扱う必要があります。例えば、次のようなものがあります。

フィッシングおよびその他のソーシャルエンジニアリング攻撃

ソーシャルエンジニアリングは、最も一般的なサイバー攻撃手法の1つです。ハッカーが他の正式な従業員やパートナーになりすまして、機密データまたは認証情報を共有するようユーザーを欺きます。例えば、ハッカーはヘルプデスクの担当者を装って、ユーザー名やパスワードなどの機密情報をユーザーに尋ねます。

フィッシングは、Eメール、テキストメッセージ、電話、ソーシャルメディアを使用して被害者を誘い、パスワードやアカウント番号などの機密情報を共有したり、コンピューターや電話にウイルスをインストールする悪意のあるファイルをダウンロードさせたりするソーシャルエンジニアリングサイバー攻撃の一種です。

トレーニングプログラムを作成する際は、以下の例に示すような重要な指標について従業員を教育するために、フィッシング攻撃の実例を盛り込んでください。

パスワード攻撃と認証情報の窃取

攻撃者は、ユーザーID、Eメールアドレス、パスワードを常に狙っています。これらの情報があれば、攻撃を実行する際に正当なユーザーになりすまして検知を回避できるからです。

ハッカーが認証情報を入手すると、そのアカウントが権限を付与されているあらゆるサービスやネットワークにアクセスできるようになります。パスワード漏洩のリスクを軽減する最善の方法の1つは、ユーザーに強力なパスワードの作成を義務付けることです。以下に強力なパスワードの例を示します。

インサイダー脅威

インサイダー脅威とは、組織内から発生するサイバーセキュリティリスクのことです。通常は、現従業員や元従業員、または企業ネットワーク、機密データ、知的財産に直接アクセスできるその他の人物によって引き起こされます。

通常、インサイダーは金銭的な動機で悪質な行為を主導したり、加担したりします。これらの攻撃は通常、データや企業秘密の窃取を伴います。窃取された情報はダークウェブで、または敵対的な第三者に対して売却される可能性があります。幸いなことに、SMBのインサイダー脅威を軽減する方法はいくつかあります。例えば、ネットワークを継続的にモニタリングすることや、サイバーセキュリティ慣行に関するすべての企業ポリシーについて従業員を教育することが含まれます。 

モバイルデバイスの保護

インターネットに接続されたすべてのデバイスが、攻撃のエントリポイントになる可能性があります。サイバーセキュリティトレーニングプログラムでは、従業員がデバイスを安全に保つためのベストプラクティスや、組織で使用されているセキュリティツールのインストールおよび更新の方法を共有する必要があります。

ソーシャルメディア

ソーシャルメディアは、サイバー犯罪者が従業員と接触し、個人情報を収集し、ソーシャルエンジニアリング手法により個人的な関係を悪用して攻撃を進めるためのもう1つの手段となる可能性があります。企業は一般的に、従業員が自分の時間に自分のデバイスでソーシャルメディアを使用することを禁止することはできませんが、会社のデバイスまたは企業ネットワークでの使用を制限する明確なポリシーを構築することはできます。

従業員の主な責任

あらゆるサイバーセキュリティプログラムの主な目標は、組織とそのアセットを安全に保つことです。これには、機密性の高い顧客データや知的財産など、あらゆる種類のデータが含まれます。

多くの場合、個人情報、銀行詳細、医療記録など、顧客の機密データを扱う従業員は、サイバーセキュリティのトレーニングを完了することが法律で義務付けられています。このような規制の対象となる組織は、自社が開発するトレーニングプログラムが政府や業界団体によって定められた要件を満たしていることを確認する必要があります。

チームリーダーの賛同を得る

サイバーセキュリティは、全社的な取り組みとして捉える必要があります。トレーニングモジュールが適切に開発され、適切な対象者に対して展開されるように、IT部門とHR部門からの専任のリーダーシップがプログラムに携わることが重要です。

このプロセスの一環として、CEO、CFO、ITリード、およびHRマネージャーが、予算を含むプログラム管理のあらゆる側面について調整を行う必要もあります。これにより、サイバーセキュリティが企業の継続的な運営の重要な部分であり続け、適切なリソースと投資によって支えられることが保証されます。

展開、測定、フィードバック収集、更新

どのような新しいトレーニングプログラムもそうであるように、一部の従業員向けにプログラムの初期パイロットを実施して、プログラムの内容と操作性に関するフィードバックを収集することが役立つ場合があります。

プログラムを従業員に展開する際には、完了率を追跡し、完了クイズと定期的なサイバーセキュリティテスト（模擬のフィッシングEメールなど）の両方を通じて知識をテストすることが重要になります。

従業員が新しい知識を獲得し、ベストプラクティスを常に意識してもらうために、すべての基本トレーニングを毎年実施する必要があります。

クラウドストライクでの次のステップ

ビジネスの規模や予算が、強力なセキュリティ防御の構築の妨げになることがないようにしましょう。CrowdStrike Falcon ® Goは、ランサムウェア、マルウェア、そして最新のサイバー脅威から小規模企業を保護する、インストールが容易で使いやすい手頃な価格のソリューションです。 

• 巧妙な攻撃を阻止する実績があり、業界をリードするNGAV（次世代アンチウイルス）ソリューションでビジネスを保護
• デバイスコントロールを活用して、ネットワークを危険にさらす可能性のあるUSBデバイスのモニタリングと管理を支援
• デバイスの場所を問わず、単一の軽量センサーを展開するだけで、すぐにビジネスの保護を開始

無料でお試しになる準備はできましたか

Falcon Goの15日間無料トライアルを開始し、ランサムウェア、マルウェア、巧妙なサイバー攻撃から小規模企業を守りましょう。