2025年もサイバー攻撃などの脅威により多くの企業で事業停止やシステム障害、個人情報漏えいなどの被害が多発した。セキュリティ対策技術が進化しても防ぎ切れないこうした脅威への備えを強化しようと、人や組織のセキュリティ対策に取り組む動きが注目されている。
ITシステムの構築・運用やセキュリティ事業を手掛けるラックは、12月に開いたメディア向けの説明会で情報リテラシーを取り上げた。同社サイバー・グリッド・ジャパン ゼネラルマネージャーの小笠原恒雄氏は、現在のサイバー攻撃が技術的な対策だけでは防ぎ切れない構造になっていると指摘する。
サイバー攻撃は人の心理や行動につけ込む傾向にあるという
人を狙うサイバー攻撃
企業のビジネスは、「サプライチェーン」と呼ばれる取引先など多くの社外関係者を含む協業関係で成立している。サプライチェーンでは企業同士がITシステムやネットワークで接続され、多様なデータをやりとりする。昨今のサイバー攻撃者は、サプライチェーンのセキュリティの脆弱性を突いて不正侵入やランサムウェア攻撃などを仕掛けている。
近年のサイバー攻撃で企業の被害が長期化しているのは、実際にはサプライチェーンを通じて複数の企業に影響が及び、複雑なサプライチェーンの中で、サイバー攻撃者の活動の痕跡などを調査して、影響を除去したり再発防止策を講じたりするなど作業に途方もない時間やコスト、労力がかかるためだ。
政府などがサプライチェーンのセキュリティ強化を呼びかけているが、具体的な取り組みはサプライチェーンの中心的な存在の企業がけん引役となって推進せざるを得ず、サプライチェーンの範囲が広いほど時間がかかる。また、高度な対策技術は導入も高額で、特に予算が乏しい中小企業は導入が難しい。導入可能な大企業でも運用はノウハウなどの点から難しいことが多く、セキュリティ専門会社への外部委託が珍しくない。
さらに、近年の生成AIブームでは、サイバー攻撃者も生成AIを悪用しているとされる。例えば日本語を話せないサイバー攻撃者でも生成AIを使って、英語などから流ちょうな日本語の文章を簡単に作成でき、「ダークウェブ」と呼ばれるサイバー攻撃者のネットワークで提供されている犯罪代行サービスも使えば、日本語の分かる人に違和感を与えない巧妙なフィッシングメッセージを大量送信できる。
企業を狙うサイバー攻撃者は多くの場合、サプライチェーンに関係する企業の社員などに業務連絡を装うようなフィッシングメールを送りつけ、企業で一般的に広く導入されているクラウドサービスの偽サイトなど誘導し、そこでログインのためのIDやパスワードなどを入力させる。攻撃者はここで窃取したIDやパスワードを使って不正侵入し、ランサムウェアなど使って個人情報などの機密情報を獲得し、暗号化で使用不能にもする。そして、被害に気付いた企業を脅迫し、攻撃を止める代わりに高額な金銭の支払いを要求する。
小笠原氏は、もはや個々の企業では対応できないところにサイバー攻撃やその被害が拡大しているだけでなく、サイバー攻撃者の行動が明らかに人間の意識や判断につけ込むトレンドにあると解説。そこで情報リテラシーの向上が欠かせないという。
情報リテラシーとは?
同氏によれば、情報リテラシーとは、情報を正しく見抜く、判断する力になる。現代はインターネットやAIの発達で偽情報や誤情報が大量かつ高速に生成・流通するようになり、人間の判断能力が追い付かないといい、安易なSNSへの不適切な投稿が瞬時に“炎上”するなど一瞬の判断ミスが直ちにリスクになるため、情報リテラシーの重要性が急上昇しているとした。
情報リテラシーには(1)情報を選ぶ、(2)情報を読み解く、(3)情報を使う――の3つのステップがあるとのこと。(1)は情報源の信頼性を見極めたり、誘導・偏りといった“ノイズ”を排除したり、認知バイアス(無意識の思い込み)気付いたりすることがポイントになる。(2)では情報に関する事実と意見を見分けたり、偽情報や誤情報、AIのハルシネーション(もっともらしい内容の誤情報)を見抜いたり、統計やグラフの巧妙な見せ方(罠)に気づいたりすることになる。
(3)では、適切に判断をしてリスクを回避したり、情報を正しく伝達・共有したり、法令や倫理を踏まえた行動をしたりすることになる。小笠原氏は、情報リテラシーの向上では(1)~(3)の実践が大事だと解説した。
情報リテラシーを高める方法は多様ながら、有効な方法の1つがゲームだ。同社では「リテらっこ」というカードゲームを開発。例えば「SNSで楽に稼げるバイトに誘われたら?」というお題に対し、プレーヤーが手渡された5枚の「アクションカード」から必ず1枚を提示し、そのカードを選択した理由を他のプレーヤーに説明する。
情報リテラシーを高めるためのゲームや書籍
アクションカードは「家族に相談する」など100種類以上の対応内容があり、プレーヤーが限られたカードからその対応を考えた理由などを参加者同士で話し合うことがポイントになる。話し合いで最善としたアクションカードを出したプレーヤーがコインを獲得。コインの獲得枚数でゲームの勝敗を競い合う仕組みにより、情報リテラシーを高めていけるという。
企業現場の取り組み・JALのケース
従業員や組織のセキュリティ強化を図る企業はどうか。セキュリティの教育や訓練サービスを企業向けに提供するKnowBe4 Japanが11月に開催したセミナーでは、日本航空(JAL)とTOPPAN ホールディングス(TOPPAN HD)がそれぞれ取り組みを紹介した。
JALは、グループとして2024年度から人と組織の情報セキュリティ文化の醸成に取り組む。情報セキュリティを確保するための行動指針では、航空の安全と情報セキュリティの確保を同じものと位置付けている。
具体的な取り組みの1つが、「JAL情報セキュリティアウェアネス活動」だ。社員一人ひとりの意識啓発やリテラシーのさらなる向上と、例えば業務で情報などの不適切な取り扱いを発見した際にためらうことなく指摘できるといった組織風土・文化の醸成を目的にしている。従来の全社的な教育や訓練に、「職場の仲間をつなぐ活動」「現場と共同での課題解決」を加えたPDCAサイクルを通じて、アウェアネスと文化によりリスクや対処方法の理解、適切な報告や相互での注意喚起などの行動変容を促す。
2024年度は、まず意識調査アンケートで各組織の情報セキュリティ課題の可視化と効果的対策につなげるための定量的評価を実施した。アウェアネスの状況を4段階で評価したところ、一部の業種で全社平均より低い状況が判明。「対応手順が定着していない」「セキュリティ用語の理解が難しい」などの課題が可視化された。明らかになった課題の解決に現場と共同で取り組み、例えば、1日の各種業務でのセキュリティリスクが分かる短時間の動画を業務用タブレット端末などから確認できるようにした。
この他にも「セキュリティDAY」というイベントを開催して、年次レポートの発表や情報セキュリティのクイズ大会、ディスカッション、適切な取り組みへの表彰を行い、情報セキュリティを“自分事”化するための川柳を募集したり、ポータルサイトで情報を発信したりしているという。その結果、直近の意識調査アンケートの回答数が2024年度比で約2倍に増え、全社的なアウェアネスの向上も確認された。2カ月ごとに実施している標的型メール訓練でも不審さに気付いたなどの報告率が上昇しているという。
企業現場の取り組み・TOPPANのケース
TOPPAN HDでは、例えば、グループの各企業で実施してきたメール訓練をグループ全体に拡大することでセキュリティリスクへの耐性を強化し、「Human FireWall」の実現を目指しているという。
メールの訓練にはクラウドサービスを活用。まず検証を行い、次に以前には未実施だった海外グループ企業での訓練の実施、そしてグループ全体への展開と段階的に進めた。体験型の学習訓練・評価の可視化・双方向型教育によりリスク耐性を強化する。「TOPPAN Security Awareness Training」(TSAT)という独自の名称やロゴも作り、グループでの認知度向上も図っている。
メール訓練では、本文にQRコードを埋め込んだり、URLリンクのクリック後にパスワードを入力させたりと多様な内容で実施しているという。効果測定は、特にメールの開封率ではなく通報率を重視する。万一メールを開いてしまっても、フォローの教育や研修を受けることでセキュリティの意識やリテラシーを高めるのが狙いだ。教育は、eラーニングを中心に自作のコンテンツを活用。従業員が規程や細則に則り業務を遂行しているかをアンケートで自ら確認できるようにしており、回答結果を人材育成施策にも反映させている。
同社は、セキュリティの訓練や教育では定着度合いの評価や改善を粘り強く継続していくことが肝心であり、情報セキュリティの“最後の砦”となる従業員のセキュリティ意識の向上が行動に反映され、行動がセキュリティ文化の形成や醸成につながるとしている。
Amazonのアソシエイトとして、CNET Japanは適格販売により収入を得ています
