第2話 まず初めにこれをやろう
訓練自体は、やろうと思えばすぐにできないこともないですが、それでは折角の訓練も効果が半減します。訓練をやると決めたら、まず初めにやるべきことがあります。それは、「何を目的として訓練を実施するかを決める」ということです。
模擬訓練は、標的型攻撃の脅威を従業員に知ってもらうための「セキュリティ教育」として捉えられることが多いですが、これは目的の一つでしかありません。「標的型攻撃の脅威を従業員に知ってもらうこと」を目的と考えれば、訓練は「セキュリティ教育」のために実施するということになりますが、「標的型攻撃の手口に関係なく、適切な対処が取れるかどうかを確認する」ということを目的に据えれば「検査」のために実施するということになりますし、「組織的な対処が実際にできるかどうかを、訓練によって確かめる」ということであれば、「検証」のために実施するということになります。
考えてみれば当たり前のことですが、訓練実施の目的を何にするか?で、実施の方法も、また、結果の測定方法も大きく変わります。漫然と模擬の訓練メールを送付して、添付ファイルの開封率が何パーセントだったから今回の訓練は「良かった」「悪かった」を論じてもあまり意味はありません。
自組織におけるセキュリティ対策の方向性を考えよう
セキュリティ対策を考えるにあたっては色々な要素がありますが、大きく考えれば「人的・組織的な防御レベル」と、「物理・環境面での防御レベル」のマトリクスが考えられます。
「人的・組織的な防御レベル」とは、各個人がセキュリティに関する知識を持ち、個人のレベルで適切な対処ができるかどうか?さらに、それを組織的なレベルにまで広げ、組織として適切な対処ができるかどうか?といった、人の意識・行動による防御力を意味します。
セキュリティという言葉は知っているが、具体的にどのような対処をすれば良いのかわからない、また、万一のことがあった時に、会社としてどのように対応するべきなのかが具体的に決められていない。といったケースは、「人的・組織的な防御レベル」が低いということになります。
「物理・環境面での防御レベル」とは、セキュリティカードやセキュリティ対策システムの導入、また、プライベートネットワークの導入など、モノや環境の整備によって脅威を退けることによる防御力を意味します。
対外的にセキュリティ対策に力を入れていることを宣伝し、攻撃の意志を萎えさせるといった心理的な障壁を築くことも、環境面の整備の一つです。各個人のパソコンにセキュリティ対策ソフトは入れているけれど、やっているのはそれくらいで、あとはたいした対策はしていない。といったケースは、「物理・環境面での防御レベルが高くない」ということになります。
人的・組織的な防御レベルが高くても、ウィルス対策ソフトすら導入されていないような環境であれば、人が気づかないところで攻撃の被害に遭う可能性がありますし、また、物理・環境面での防御レベルが高くても、使う人のセキュリティ意識が薄かったら、ゼロデイ攻撃などされたらひとたまりもないでしょう。組織としてセキュリティレベルを高いものにするためには、どちらが欠けてもダメなわけです。
しかし、一足飛びにどちらも最高のレベルとすることなど到底できません。レベルを上げて行くには時間もお金もかかります。そうした時に、自分の組織はどのような方向性でレベルを上げていくのか?物理・環境面の整備を優先するのか?それとも、人的・組織的な面での整備を急ぐのか?それによって、進むべき方向性も自ずと決まってくることになります。
現在の位置を知り、進むべき方向を見定め、訓練はどうあるべきか?を考える
「人的・組織的な防御レベル」と「物理・環境面での防御レベル」によるマトリクスを考えたとき、ああなたの組織は今、どこに居ると言えるでしょうか?そして、これからどの方向に向かうべきと思われるでしょうか?
それによって、何を目的に訓練を実施するかが自ずと明確になるはずです。今どこに居るのかはっきりしないというのであれば、まずは、それをはっきりさせることが目的になるはずです。
訓練実施の目的が、「教育」「検証」「検査」「宣伝」「調査」のいずれになるのか?また、いずれとするのか?「初めにやるべきこと」は、まず、これを考えることでしょう。
といっても時間をかける必要はありません。訓練実施はPDCA(Plan・Do・Check・Action)サイクルを回しながらやっていくもの。失敗を恐れず、例えトライ アンド エラーでも、積極的に取り組むことで、確実に今の状況よりは前進することができるはずです。
→次の記事へ( 第3話 スコープを決めよう )