今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、コントロール17 アセキュリティアウェアネスとトレーニングプログラムの実施を見ていきます。そして必須要件として挙げられている9つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
「コントロール17」のキーポイント
- メトリクスにあまり重点を置かなくなった。以前のセキュリティアウェアネスコントロールには、メトリクスと全体的なコンプライアンススコアを向上させるための複数のサブコントロール項目がありました。今回のコントロールにおいては、よくある攻撃ベクトルをいくつかを挙げているだけで、むしろ一連のトレーニングの提供方法の確立に重点を置いています。
- アウトソーシングはやはり理想的です。セキュリティチームはすでに人手も資金も不足していて、過剰労働になっています。アウェアネストレーニングのプログラムを一から作り上げるには多大な時間がかかるので、サードパーティーに開発・供給を任せるほうが合理的です。
コントロール17の必須要件リスト(サブコントロール)
1.スキルギャップ分析の実施
内容:従業員のスキルと、従業員が守っていない行動に対するスキルギャップ分析を実施します。この情報を使用して、ベースライントレーニングのためのロードマップを策定します。
留意点:組織を挙げて真のスキルギャップ分析を実施することは、多大な時間を要するプロセスとなるでしょう。もしもセキュリティ意識向上トレーニングを導入したばかりだというなら、サードパーティーのサポートを得るのが最善策かもしれません。
2.スキルギャップを解決するためのトレーニングの提供
内容:判明したスキルギャップに対してトレーニングを実施し、従業員のセキュリティ行動を向上させます。
留意点:トレーニング実施は、サブコントロール1を完結するものです。トレーニングは、生のプレゼンテーションでも、ウェブを通じたビデオでも可能です。組織の規模と複雑さによってどの方法にするかが決まるでしょう。
3.セキュリティ意識向上プログラムを実施する
内容:組織のセキュリティを確実にするため、全従業員が定期的に修了すべきセキュリティ意識向上プログラムを作り、必要な行動とスキルが理解、体得されているかを確認します。組織のセキュリティ意識向上プログラムの内容は、継続的で魅力的なものでなくてはなりません。
留意点:このサブコントロール項目をより分かりやすく説明するためのポイントが二つあります。一つ目はトレーニングは定期的に実施されることです。情報セキュリティ全般と同様に、セキュリティ意識というのは、一度で身につくものではありません。二つ目は、従業員が、修了したトレーニングに基づいた行動とスキルを活かせなければ意味がありません。フィッシングの定義についてのポイントを箇条書きにしたスライドを見せても効果的ではありません。面白くて魅力的な内容にし、教えた後にはよく学べているかテストします。
4.セキュリティ意識向上プログラムのコンテンツの更新は頻繁に
内容:新しい技術、脅威、基準そしてビジネス要件に対応できるよう、組織のセキュリティア意識向上プログラムの更新は頻繁に(少なくとも毎年)行われるようにします。
留意点:攻撃者が使う戦術や技術そして手段は絶え間なく変化しています。新たな攻撃手法が広まれば、それをトレーニングに反映させなくてはなりません。サブコントロール3を振り返ってみましょう、四半期ごとに同じトレーニングを受けていたら、従業員は耳を貸さなくなるでしょう。新しい情報を提供すれば、より理解が深まるでしょう。
5.従業員にセキュアな認証について教育
内容:従業員にセキュアな認証を有効化し、利用することの重要性を教育します。
留意点:ここ何年かで最も目立った攻撃の中には、コントロール16で扱われているセキュアな認証で防ぐことができたものがいくつもあります。強力なパスワードと多要素認証はネットワークを守るために大変役に立ちます。
6. 従業員にソーシャルエンジニアリング攻撃を識別できるよう教育する
内容:従業員に、フィッシングや詐欺やなりすましの電話といったソーシャルエンジニアリングの様々な形態を認識する方法をトレーニングします。
留意点:セキュアな認証と同様、大企業に対する攻撃の多くには、ソーシャルエンジニアリングの一面があります。「人間こそ、セキュリティの鎖の一番弱い輪である」という言葉は、ソーシャルエンジニアリングがいかに成功しているかを証明しています。セキュリティー組織にとってここが防衛の最前線となるため、真剣に取り組む必要があります。
7.従業員に機密データの取り扱い方を教育する
内容:機密データの識別の仕方、及び正しい保存、伝送、アーカイブ、破棄の方法について従業員を教育します。
留意点:大抵の攻撃者が狙っているのがデータです。防御するためには、さらなる予防策を講じ、データの保存や伝送は安全な手段がとられているかを確認します。従業員が機密データを不用意にセキュアでない場所にコピーすれば、何百万ものセキュリティ投資が無駄になってしまいます。
8. 従業員に予期しないデータ露出の原因を教育する
内容:携帯電話をなくす、メーラーの自動補完機能により間違ったあて先に電子メールを送ってしまうといった予期しないデータ露出の原因を従業員に教育します。
留意点:インサイダー脅威は、善意の人物が原因となる場合もあります。データ損失防止や携帯電話管理ツールがデータ露出を防ぐこともありますが、ユーザがウェブフォームの間違ったボタンを押してしまうというような、ツールでは防ぎきれない場合もあるでしょう。個人情報をしっかり秘匿しておくためには、データ損失の原因と防止の両面から教育を行う必要があります。
9. インシデントを認識し、報告するよう従業員を教育する
内容:最もよくあるインシデントのサインを認識できるように、さらにインシデント報告ができるように従業員を教育します。
留意点:コントロール19で述べられるように、セキュリティチームが全てのインシデントを認識できるわけではありません。今日の世界では、エンドユーザには念には念を入れるように、そしてセキュリティインシデントに関しては、過小に報告するよりは過大に報告するように、と教える方が望ましいのです。
CISコントロール18:アプリケーションソフトウェアセキュリティ
CISコントロール20: ペネトレーションテストとレッドチームの訓練
CISがクリティカル セキュリティーコントロール トップ20を改訂
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.
