〜従業員向けセキュリティ研修の重要性〜
巧妙なサイバー攻撃が増加の一途をたどる一方でサイバーセキュリティ対策を担う人財の不足は深刻化しており、経済産業省の試算によると、2020年には約20万人も不足すると言われています。
この大きな課題の解消に貢献するために、日立も多方面において積極的な取り組みを推進しています。セキュリティ人財統括センタは、セキュリティ人財育成に関する施策の検討・推進をしている日立内の組織の一つ。メンバーである加藤さんに、人財育成に関する取り組みや、最近の注力ポイントである従業員向けセキュリティ研修について話を聞きました。
株式会社日立製作所 セキュリティ人財統括センタ 加藤岳久
わたしたちは、日立のセキュリティ人財育成をミッションに掲げ、さまざまな活動を行っています。たとえば、実務で求められるセキュリティスキルやキャリアを定義し、社内認定を行う制度においては、求められる人財を育成する研修の企画開発・運営を担当しています。また社外では、国内ユーザー企業が参画する産業横断の活動を通し、産業界が必要とするセキュリティ人財像の枠組み定義の検討会に参画しています。ほかにもIT分野の専門知識や技術を学ぶ高等専門学校(以降では高専と表記)を訪問し、基礎から実践にわたるセキュリティの出前授業を実施しています。
セキュリティ人財の不足は国内全体で問題となっています。将来を見据えると、その対策は多方面から強化していくことが重要なのです。産業横断での活動は、企業間の情報共有とともに、社内で定義するセキュリティ人財像へのアップデートにつながります。また、高専生など未来を担う若手の育成はそのものの意義も大きいですが、育成を通して得た経験がわたしたちのスキルアップや社内研修のヒントにもなっていて、これらのフィードバックが当社にとっても非常に有意義だと考えています。
依然としてセキュリティの技術者を育成する研修には力を入れていますが、その一方で、セキュリティ意識を向上させることを目的とした一般従業員向けの研修にも注力しています。
2011年ごろまでは、高いスキルを持った攻撃者が重要システムのサーバーなどを標的とするサイバー攻撃がほとんどでした。このため、重要なサーバーに適切なセキュリティ対策を行える高度なスキルを持ったセキュリティ専門家の育成が重要視されていました。しかし、ここ数年はクライアント端末を狙う攻撃ツールが闇サイトで入手できるようになり、以前にも増してクライアント端末のぜい弱性が狙われやすくなりました。クライアント端末を使う多くは従業員なので、一人ひとりがしっかりとセキュリティに対する当事者意識を持つことが大切になってきます。
しかし、KPMG RSA サイバーセキュリティサーベイの調査データ「サイバーセキュリティ対策に取り組む上での課題*」にもあるように、「従業員の意識の低さ」が、サイバーセキュリティ対策に取り組むうえでネックとなっているのが現状です。わたしたちの組織ではセキュリティ対策はしっかりと検討、実施しておりますが、従業員が一人でもセキュリティ意識に欠けているとそれらが台無しになってしまう恐れがあります。ウイルススキャンを実施する、不審メールに添付されたファイルは開封しないなどのこまめな対策がサイバー攻撃の影響を最小限に食い止めることにつながるので、セキュリティ意識を底上げし、浸透させるための研修は日立社内でも徹底しています。
世間的にはサイバー攻撃は急激に増加していると言われていますが、実際に体験した人が周囲にそう多くいるわけではありません。危機意識が芽生えづらいのはそのせいかもしれません。また、サイバー攻撃によって現場のシステムに異変が起こっても、別の異常と認識してセキュリティインシデントだとすぐに想起できないことがあります。セキュリティインシデントかもしれないと気づいても、社内の「誰に」「何を」「どのように」連絡・報告・相談すればよいのかを当事者が知らなかったために、初動対応が遅れてしまうこともあります。
はい。実際に体験する機会はそうあることではないので、研修などを通してセキュリティ意識を高め、いざサイバー攻撃に遭遇したときに落ち着いて行動できるよう、事前知識を学んでおくことが必要です。最近では、こういった課題意識を持たれているお客さまの声もよく聞くようになりました。
そうした従業員のセキュリティ研修に対する関心の高まりを受け、 日立は2018年10月に「サイバー攻撃対応コミュニケーション訓練」という研修サービスの提供を開始しています。この研修では、セキュリティインシデントに直面するロールプレイを通して、グループディスカッションしながら初動対応を検討していきます。セキュリティインシデントの対策プロセスに「OODA(ウーダ)」という考え方がありますが、本研修もOODAに沿ったロールプレイができるように構成されています。
じつは日立社内では以前から行っている研修で、「インシデントのシナリオがとても具体的で真剣に取り組めた」、「セキュリティについて改めて考える機会になった」などの声があり、受講者からも好評でした。これを受けて、社外のお客さまにも本研修を活用いただけるよう、リリースする運びになりました。
製造業や官公庁、ITベンダーなど、幅広い業種のさまざまな部門の方の受講実績があります。セキュリティインシデント発生時の初動対応で、適切な行動をとるための意識づけを学ぶ内容になっているので、セキュリティに関する難しい知識やスキルがなくても有意義な内容になっています。組織にいる従業員の一人ひとりがセキュリティ意識を底上げしていくことは、セキュリティ対策の有効な施策の一つです。今回の内容に目を通していただいたことをきっかけに、従業員のセキュリティ研修について改めて考えていただけると幸いです。
「サイバー攻撃対応コミュニケーション訓練」で扱うセキュリティインシデントのシナリオは、
トレンドマイクロ株式会社との協業により開発しています。
2019年11月15日(金)に開催されたトレンドマイクロ株式会社主催の
「セキュリティカンファレンス Trend Micro DIRECTION」のステージプレゼンでも本研修について紹介しました。
この記事は、2019年12月11日に掲載しています。
