アリバイ作りではない「本気で」社員のセキュリティ意識向上を図りたい管理者のために~ KnowBe4社が講演 | ScanNetSecurity
2024.03.19(火)

アリバイ作りではない「本気で」社員のセキュリティ意識向上を図りたい管理者のために~ KnowBe4社が講演

単にアリバイを購入したいだけの志の低い企業が KnowBe4 を利用すると痛い目にあいかねないかも。KnowBe4 は企業に対して、変化や成長の必要性を突きつけてくるサービスであり、互いに目配せして本質からそろって目をそらす「ぬるま湯」的セキュリティ研修と本質的に異なる。

研修・セミナー・カンファレンス
PR
KnowBe4 Japan合同会社 営業統括本部長 ガブリエル・タン 氏

 「FBIが恐れた伝説のハッカー」という、まるで映画のキャッチコピーのような異名を持つサイバー犯罪者がいて、名をケビン・ミトニックという。1963 年生まれの人物だが、まだ元気バリバリで、コロナ前は世界を講演で飛び回っており、日本にも何度も来日した。

 以前 Black Hat USA の関連イベントで、ケビン・ミトニックのワークショップを取材したことがあったが、魅力的かつ人を飽きさせないトークで、その人気もうなずける内容だった。ミトニックが標的とするのは「人間の脳ミソの脆弱性」で、攻撃手法はソーシャルエンジニアリングなどとも呼ばれる。

 10 月に東京と大阪で開催されるセキュリティカンファレンス「Security Days Fall 2022」において、KnowBe4 Japan合同会社の営業統括本部長 ガブリエル・タン氏が「サイバーセキュリティは取締役会で監査されるべき問題 なぜ、セキュリティ意識向上トレーニングが必要なのか?」と題した講演を 10 月 5 日(水)に行う。

 「KnowBe4」は「ノウ・ビフォー(Know before! :やられる前に知れ)」であり、セキュリティアウェアネストレーニングとフィッシング攻撃シミュレーションを組み合わせることで、騙されやすく、ときにうっかりミスもしてしまう人間の、習慣や認知などに潜む脆弱性、つまり最も対策が難しいとされる「人の脆弱性」に正面から取り組んでおり、国際的に見ても数少ない「専業」企業だ。

 ここで正直に言ってしまおう。アウェアネストレーニングなどのセキュリティ研修一般は、言葉を選ばずに言えば「ざんねんなセキュリティ」が少なくないことを。

 たとえばプライバシーマークの更新だったり、コンプラ要件等々、研修を実施したという「アリバイ」を購入するために行っているような研修もそこでは少なくない。実施する一定の意味はもちろんあるものの、根本的解決などとはハナから向き合うことを放棄しており、ただ年に何回か研修実施のアリバイを淡々と「納品」するのみ。こうした「ざんねんセキュリティ研修」と対極にあるのが KnowBe4 のサービスである。

 KnowBe4 は「フィッシング詐偽ヒット率(Phishing Prone Percentage:PPP)」という独自指標を創出、訓練と研修を重ねながら、この指標の増減と、増減のダイナミズムの詳細な分析を行う。研修・訓練・分析の 3 つを統合したプラットフォームこそ同社サービスのコアである。

 アリバイ販売業者のような志の低いセキュリティ研修サービスは「フィッシング詐偽ヒット率」などという、将来的に己(おのれ)の責任や成果を問われかねない数値をゆめゆめ計測するはずがない。トレーニングを複数回実施して数値が下がらなければ炎上するのは確実だし、セキュリティサービスの一番恐ろしいところは「現実から裁かれる」ことだから、たとえば極めて優秀な数値だったはずの人が業務中に複数回フィッシングの餌食になったりなどしたら、そもそもの研修コンテンツの質や、果てはプラットフォーム自体の妥当性や信頼性さえ揺らぎかねない。覚悟がなければ、こんな数値を指標として設定したり、継続的に計測したりはできない。つまり状況証拠的にもこの企業は信頼できる。

 だから逆に言えば、単にアリバイを購入したいだけの志の低い企業が KnowBe4 を利用すると痛い目にあいかねないかも。KnowBe4 は企業に対して、変化や成長の必要性を突きつけてくるサービスであり、互いに目配せして本質からそろって目をそらす「ぬるま湯」的セキュリティ研修と本質的に異なる。

 「監査」という言葉からも、その精神が伝わってくる。通常数字で把握できないものは監査することなど不可能であり、KnowBe4 のプラットフォームは、人が攻撃にさらされたとき、果たしてその従業員はどんな反応をするのか、騙されてしまうのか、それとも的確に判断して回避できるのかを、従業員一人一人単位で、あるいは組織単位で、そして会社単位で数値で明らかにすることができる。

 まだ貸借対照表のどこにも存在しない勘定科目だが、騙されにくく、ヒューマンエラーが相対的に少ない優秀な従業員を継続的に雇用し組織化できているということが、たとえば素晴らしい製品を製造したり、完成された流通網を持っていたり、たくさんの知的財産を保有していることと同様に、企業の競争力に結びつく無形の「資産」なのであるという、一歩進んだ価値提案がここにはある。

 おじさん世代には武田信玄の「人は城、人は生け垣、人は堀」と言えば通じるだろうか。実際に KnowBe4 は「ヒューマンファイアウォール(人的防御層)」という言葉も使っている。

 サイバー攻撃にさらされたとき「最も弱い鎖」のひとつが人間であるのは自明だが、それと同時に「最後の砦」「最後の希望」ともなりうるのが人間である。あなたの会社のスタッフを、帳簿に資産として計上したくなるような優秀な従業員に変えたいなら、絶対にこの講演は必聴である。

 最後に、取材で聞いた面白いエピソードを紹介して終わりにしよう。冒頭で挙げたケビン・ミトニックは KnowBe4 の取締役兼コンサルタントを務めている(“チーフハッキングオフィサー”という中2病的な肩書には苦笑を禁じ得ないが)。ミトニックが仕込んだ「人の悪い社員研修」が、KnowBe4 に入社すると 2 日目に行われるという。

 それは、まるで情報システム部門から送られたかのように偽装されたメールが新入社員に送付され、うっかり情シスと信用して多要素認証のパスワードを入力したら負けというテストだ。これにはほとんど全員が引っかかるという。そしてこの体験を通じて、アウェアネストレーニングの重要性を身をもって知るのだという。要は「環境の変化」「立場の低い新参者の身分」「権威者の登場」「緊急性の演出」というやつだ。

 入社 2 日目にまだ会社の諸手順に慣れないうちに、情報システム部門を騙るという、ケビン・ミトニックが設計したそんなソーシャルエンジニアリングの洗礼を受けたら、特に新入社員ならそりゃひとたまりもあるまい。聞いていて思わず笑ってしまった。

 この話から、失敗というものをネガティブにではなく「成長の糧」として考える風通しの良い社風や企業文化のようなものを感じたからここに記しておく。恥や恐怖で人を成長させることはできない。

10.5(水) 13:10-13:50 | RoomA
サイバーセキュリティは取締役会で監査されるべき問題 なぜ、セキュリティ意識向上トレーニングが必要なのか?

KnowBe4 Japan合同会社
営業統括本部長 ガブリエル・タン 氏

KnowBe4, Inc.
CEO ストゥ・シャワーマン 氏
Executive Vice President トニー・ジェニングス 氏

《高橋 潤哉( Junya Takahashi )》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

    サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

  2. 「10年後の予測より今足元にある課題解決」~ 情シス信頼のブランド ソリトンシステムズ  Security Days Spring 2024 四講演紹介

    「10年後の予測より今足元にある課題解決」~ 情シス信頼のブランド ソリトンシステムズ Security Days Spring 2024 四講演紹介

  3. フィッシング対策協議会、Google と 米Yahoo の送信者向けガイドライン解説資料ほか 公開

    フィッシング対策協議会、Google と 米Yahoo の送信者向けガイドライン解説資料ほか 公開

  4. 選挙へのサイバー攻撃:その真の狙い ~ オランダ、ウクライナ、ギリシャの事例から

  5. 新しい総務省ガイドラインに適合する「クラウドのデータ消去」とは? 自治体で行われた実証実験 結果報告

  6. Google & 米Yahoo! の迷惑メール対策強化について~ JPAAWG 緊急ウェビナーで喫緊課題への具体的な疑問が続出

  7. パナソニック他 大手が続々「Cloudbase」を採用、日本人が日本企業のために作るクラウドセキュリティプラットフォーム

  8. 事業成長や DX からセキュリティの真の価値を届ける ~ 株式会社アクトのサイバーセキュリティ

  9. 公安調査庁「SECURITY SHOW 2024」出展、3/12 にはセミナーも

  10. メールを軸に、インターネットの安全をさまざまな角度で知り、議論する「JPAAWG 6th General Meeting」の見どころとは

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×