実戦経験に勝るスキルアップ術はない。人為的な脅威を含む災害をシミュレーションすることで、IT部門のサイバーセキュリティスキルを向上させよう。業務部門のリスクを明らかにすることもできる。
サイバーセキュリティとコンピュータフォレンジックの理学士号やサイバーセキュリティの理学修士号などを取得すれば、サイバーセキュリティ専門家のキャリアに必要な知識を得ることはできる。だがネットワークに潜む脅威への対処には、実務経験に勝るものはない。
「災害復旧を行う状況で、新人の能力を試すようなことはしたくない」と話すのは、(ISC)2で最高情報責任者を務めるブルース・ビーム氏だ。
「サイバーセキュリティに携わるスタッフのスキルが不足している」と答えた企業の数がここ4年で増加していると報告する調査もある。2014年にスキル不足を課題とした企業は約23%だったが、それが50%以上に上昇した。サイバーセキュリティ部門の作業負荷が増えたことに起因する。
こうした課題を克服するため、企業はオンライン脅威対策に必要な経験をさまざまな手段でサイバーセキュリティの実習生に提供している。その手段の一つがメンタリングだ。1人の実習生に1人の経験豊富なサイバーセキュリティ専門家をメンターとして割り当てる。メンタリングによってスタッフの経験が受け継がれ、退職や人材の引き抜きに備えることができる。ただし無意識のうちに経験が偏る恐れがあるのが欠点だ。
災害管理のシミュレーションを行い、必要な経験をスタッフに提供している企業もある。避難訓練を行って、起こり得る災害にスタッフがどのように対応するかを評価するのと同じように、重大な障害をシミュレーションすることでスタッフが障害にどう対応するかを確認できる。
「私はいつも軍事教練を思い返すようにしている。軍で学んだことの一つが『実戦を想定して訓練に臨め。なぜなら、訓練と同じように戦うことになるからだ』というものだ」(ビーム氏)
シミュレーションにより、実際のネットワークや企業データにリスクを及ぼすことなく重大な障害を体験できる。シミュレーションは災害復旧のシナリオを利用するものや、ホワイトハットハッカー(訳注)がネットワーク防御に探りを入れ、認識した脅威にサイバーセキュリティチームがどのように対応するかを確認するものなどさまざまだ。
訳注:テスト目的でシステムに侵入し、セキュリティの欠陥を調べたりブラックハットハッカー(悪意のあるハッカー)を監視したりするハッカー。
「多くの企業が災害復旧を話題にしている。だが実際に災害復旧を検証して想定通りに機能することを確認している企業はない」と話すのは、データセキュリティ企業Digital Pathwaysでマネージングディレクターを務めるコリン・タンカード氏だ。
災害管理のシミュレーションは、企業ネットワークのレプリカを提供する。これにより実践的な体験がもたらされ、習慣的に対応できるようになる。サイバーセキュリティ部門は実際に使うセキュリティツールを利用して、ネットワークの設定やトラフィックを体験する。災害シナリオの効果を高めるには、進化を続ける脅威、標的型のマルウェア、ランサムウェアなどを正確にシミュレーションする必要がある。
より複雑なトレーニングシミュレーションでは、ホワイトハットハッカーがネットワーク防衛に探りを入れ、サイバーセキュリティチームがその脅威に気付く早さと対処方法を確認する。「このトレーニング方法は、スタッフがどのように対処するかを企業が確認できることから、大きな成功を収めている」(タンカード氏)
災害管理のシミュレーションは、コストが高くなる可能性がある。現実に即したトレーニングシナリオにするための初期コストがかかるだけでなく、スタッフが日常業務とは別に時間を取る必要もある。
災害管理のシミュレーションを正しく行えば、スタッフだけでなく企業全体のトレーニングになる。災害のシナリオを実行することで、企業はデータ復旧プロセスの改善箇所や自動化できるタスクがあるかどうかを評価できる。「災害のシナリオは人的な視点だけでなく、TTP(トレーニング、戦術、手順)の点からも検討する必要がある」とビーム氏は話す。
シミュレーションはIT部門だけでなく、全部門のスタッフを評価して脅威にどのように対応するかを確認する。
意識を高めるためによく用いられる手法の一つに、会社の駐車場に幾つかUSBメモリを落としておくというものがある。この手法は、誰がUSBメモリを拾い、適切な部門に渡さずに自分のPCに挿し込んでそのUSBメモリの持ち主を確かめるかを評価する。
全従業員にフィッシングメールを送信して、誰がそのメールに反応するかを確かめる手法もある。この手法は詐欺師がもたらす脅威への意識を高めるだけでなく、セキュリティ意識に関するトレーニング強化が必要な従業員を明らかにする。
コストがシミュレーション導入を阻む要因になるかもしれない。だがシミュレーションの結果を見直すことで重点的なトレーニングが必要な領域を特定し、コスト効率を最大限に高めることができる。
「セキュリティと災害復旧の対応速度が改善されることを提示できれば、経営陣はシミュレーションへの投資を考えるようになるだろう」(ビーム氏)
サイバーセキュリティ人材の不足が深刻化している。企業は将来脅威に遭遇したときに必要なスキルをスタッフに提供できるよう、災害管理のシミュレーションを導入してCPDを補完することを検討する必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.
今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。
セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。
年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。
従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。
2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。