【1-8】人的セキュリティ
- 2018.10.28
- ドメイン1:セキュリティとリスクマネジメント
内部の脅威やソーシャルエンジニアリングなどの攻撃の実現確率を低減するためには、従業員にセキュリティの問題を意識させることが効果的です。
また、安全に業務を遂行する方法について伝達することも重要です。
セキュリティの意識啓発
セキュリティの学習の一般的な概念は以下となります。
| 教育 | 正式な授業などを受講します。 組織外の認可された期間で実施される専門的な認証制度や学位過程が用意されています。 |
| トレーニング | 準公式な講座等を受講します。 組織内やベンダが講師となり、従業員は学習をします。 |
| 意識 | 非公式な取り組みとなります。 従業員に対して安全な業務遂行を周知、奨励をします。 |
コラム:セキュリティ意識啓発の具体例
【教育】セキュリティの安全な設計に関する専門機関の講座を、セキュリティマネージャに受講させます。
【トレーニング】組織が主催するセキュリティ指導を各部署のセキュリティ担当者に行います。
【意識】社員全員に標的型メールの訓練を実施し、注意喚起をします。
【トレーニング】組織が主催するセキュリティ指導を各部署のセキュリティ担当者に行います。
【意識】社員全員に標的型メールの訓練を実施し、注意喚起をします。
セキュリティ学習の方法
セキュリティ学習の方法には下記のような例があります。
| コンピュータベースのトレーニング | 従業員がオンラインでトレーニングできるようにします。 従業員が各自のペースで進めることができるので、スケジュールの影響が少なく、効率的に行えます。 |
| 現場指導 | 指導者が直接従業員にトレーニングを行います・ スケジュールを確保する必要がありますが、リアルタイムで質疑応答ができるなど個人に合わせた教育ができます・ |
| 報酬制度 | 適切な行動に対して報酬を与えます。 適切なふるまいを助長し、セキュリティの強化が期待されます。 |
| 定期的なコミュニケーション | ニュースレター等を定期的に送付します。 組織がセキュリティを重視していることを強調し、意識を高めることができます。 |
トレーニングプログラムは資料が古くならないようにメンテナンスする必要があります。
古いプログラムをしていると、誤った対策を指導してセキュリティが弱まる可能性もあります。
特に最新化が求められる内容は以下のものとなります・
- 運用法令
- セキュリティツール
- セキュリティポリシー
- 最近流行した攻撃方法
学習の有効性評価
トレーニングプログラムは、実用性と有効性を定期的に評価し目標を達成できていることを確認する必要があります。
トレーニングの有効性の確認方法には以下の例があります。
| 参加者テスト | トレーニングで期待される成果のリストを作成し、トレーニング完了後の受講者にテストします。 |
| ペネトレーションテスト | ソーシャルエンジニアリング手法で疑似攻撃を仕掛け、トレーニング受講者が適切に対処できるか確認します。 |
| ログレビュー | ユーザのイベントログを調べ、トレーニングで伝えたポリシーに従っているか確認します。 |
達成目標
本章での達成目標は以下となります。
【1-8-1】セキュリティの訓練、教育、気づきの重要性と、それらの要素を区別する方法を説明できる。
-
前の記事
【1-7】ガバナンスの文書化 2018.10.28
-
次の記事
【1-9】事業継続管理 2018.11.01