セキュリティ アウェアネス トレーニング大手 米 KnowBe4 社の日本法人 KnowBe4 Japan合同会社 が 9 月 19 日都内で記者会見を開催し、セールス部門のグローバル責任者であるトニー・ジェニングス氏が来日、日本市場に向けて円建てのプライスリストの提供や二次代理店制度創設などの事業戦略を発表した。
KnowBe4 は「ノウビフォー」と呼称し、本誌が 7 月に報じた通り「伝説のハッカー」と冗談のような尊称で呼ばれた故ケビン・ミトニック氏が共同設立者として参加した企業。
たとえば「サイバーセキュリティ教育カンパニー」を標榜するグローバルセキュリティエキスパート株式会社は、情報システム部門やセキュリティ部門の技術者などを主に教育し育成するが、KnowBe4 が教育するのは一般社員だ。さまざまなセキュリティリテラシーレベルの一般社員に教育や訓練を実施し、フィッシングや BEC などのソーシャルエンジニアリング攻撃への抵抗力を向上させる。「 Human Error. Conquered.(ヒューマンエラー克服)」というブランドプロミスが示す通り、内部不正というよりは、外部から従業員へ行われる認知攻撃への対応に主眼がある。
こうしてソーシャルエンジニアリング攻撃等への耐性を強化した従業員群を同社は「ヒューマン ファイアウォール」「ヒューマン ディフェンス レイヤー」と武田信玄的に呼ぶ。
近年、EDR や XDR、ZTNA が普及して技術的セキュリティ水準が向上したことで、相対的に対策がまだ不充分な領域、たとえば電子メールや人間(従業員)への攻撃が増加している。高度なサイバー攻撃の多くが、電子メール経由で人間の認知の限界や隙間を突くことが端緒となっている。
ジェニングス氏は、セキュリティ対策の支出額割合の独自調査数値をもとに、ネットワークへの支出が 40 %、エンドポイントが 22 %、Web セキュリティが 18 %、アイデンティティ管理が 17 %であるのに対して、アウェアネストレーニングなどの従業員教育訓練には 3 %未満の投資しか行われていないことに言及した。
日本法人セールス部門責任者ガブリエル・タン氏は、2024 年度に向けた日本市場に根付いた新たな事業戦略として、「日本円建て価格リストの提供」による円安などへの対応、「二次代理店制度導入」による販売代理店ネットワークの拡大、日本人専門家による「顧客サポート体制の強化」、「製品ローカライズのほか日本語コンテンツの拡充」の 4 つを挙げた。
年に 2~3 回実施するセキュリティ研修と、KnowBe4 のサービスが異なる点としてタン氏は、同社のアウェアネストレーニングによる意識変革が、行動変容や組織のカルチャー醸成にまでつながっていくと述べ、同社プログラムの強力さをアピールした。
なお「カルチャー」とは「組織のセキュリティに影響を与える組織共通の考え方、習慣、社会的行動とそれを形成する振る舞い」と定義されている。
KnowBe4 の管理者向けコンソールには、当該ユーザー企業がどのぐらいフィッシングや BEC 等のソーシャルエンジニアリング攻撃に弱いかを数値化した「リスクスコア」が算出・表示され、この数値は従業員の研修プログラムの受講や、日本でいうところのメール訓練の結果などによってリアルタイムで上下する。下記デモ画面にあるように、最大値を 100 として数値が高いほど攻撃に弱い。
