“従業員”がサイバー攻撃対策の「最後の砦」
システム的な対策だけでは防ぎきることのできないサイバー攻撃。
“従業員”がサイバー攻撃対策の「最後の砦」となるか、「経路」となるかは、セキュリティ意識次第です。
IPA「情報セキュリティ10大脅威 2024 [組織]」
出典:独立行政法人情報処理推進機構 (IPA) 情報セキュリティ10大脅威 2024
https://www.ipa.go.jp/security/10threats/10threats2024.html
ランサムウェアの感染経路(日本の場合)
出典:警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
従業員を狙った攻撃
教育による従業員の
セキュリティ意識向上が必要不可欠
しかし
情報セキュリティ教育の課題
-
効果測定がしづらい
実施することが目的化しているため、
効果測定ができていない。目的が不明確
-
形式的で効果が薄い
形式的に年一回実施しているが、
やらされ感があり、効果が薄い。頻度不足
-
最新手口に対応できない
セキュリティ脅威は日々新しいものが登場。
その情報に追従できない。判断の軸がない
情報セキュリティ教育で解決!
目的が明確化された効果的アプローチ
セキュリティ意識の定着に必要な3つのフェーズに沿ってアプローチ。
教育の目的を明確化した実施により効果を最大化します。
フェーズ
セキュリティの基礎を知る(インプット)
IT全般やセキュリティ全般、サイバー攻撃手法、被害事例、社内規程など、セキュリティの基礎を知ることからスタートする。
フェーズ
セキュリティの基礎を実践(アウトプット)
パスワード管理やメールの誤送信、個人情報の取り扱い、標的型攻撃メールを見抜く、
インシデント対応など、知識として理解したセキュリティの基礎を実践し、定着させる。
フェーズ
セキュリティリスクを自ら考え行動(原理原則の理解)
新しいサイバー脅威の登場などにおいて判断が必要となる場面において、
自らがセキュリティの原理原則(セキュリティリスクマネジメント)をベースに考え、行動/相談できるようにする。
年間計画に基づく必要十分な教育
情報セキュリティ教育の3カ年計画や年間計画を作成。
計画に沿って、各組織に必要十分なセキュリティ教育を実施します。
例:セキュリティの基礎を知る&実践
4月
メールセキュリティ
オンライン講習
(情シス向け)
5月
セキュリティ基礎研修(オンライン開催)+試験
情報セキュリティを理解するために
必要な前提知識(用語や脅威事例等)を理解
6月
標的型攻撃メール訓練(1回目)
標的型攻撃メールを見分けるスキルを獲得
開封率を測定
11月
セキュリティ基礎研修(初回保存動画の視聴)+試験
情報セキュリティを理解するために
必要な前提知識(用語や脅威事例等)を理解(定着のための復習)
12月
標的型攻撃メール訓練(2回目)
標的型攻撃メールを見分けるスキルを獲得
数値目標:前回から開封率5%低下
セキュリティの原理原則を浸透
大切なことは、セキュリティの原理原則に則って判断できるようになること。
セキュリティリスクマネジメントの浸透により、適切な対応ができる組織へ。
主なトレーニングラインナップ
フェーズ1
知る
セキュリティ講習サービス
セキュリティコンサルタントがお客様の状況をヒアリングし、
最適な講習プログラム及び説明資料の作成から講習まで実施します。
状況・ニーズのヒアリング
プログラムと資料の作成
講習(オンライン・オフライン)
お客様の状況・ニーズに合わせた
プログラムを作成
プログラム例
「情報セキュリティの基礎」
-
情報セキュリティとは?
-
なぜ情報セキュリティが重要か?
-
情報を安全に扱うためのポイント
-
情報セキュリティルール
-
PCの安全管理
-
パスワード管理
-
インターネットアクセス
-
電子メール
-
可搬型記憶装置及び媒体の保護
-
クリアデスク/クリアスクリーン
-
セキュリティインシデント対応
-
プログラム例
「情報セキュリティの基礎」
-
サイバー攻撃の現状(標的型攻撃メール、マルウェア、ランサムウェア、サプライチェーン攻撃について)
-
サイバー攻撃被害
-
標的型攻撃メールとは
-
標的型攻撃メールの見抜き方
-
標的型攻撃メールへの対策(対応フロー)
-
犯罪の手口(APT攻撃)
eラーニング
すきま時間に受講が可能なeラーニングで、確認テストやアンケートの実施が可能。
一般ユーザへの分かりやすさと意識づけを徹底したコンテンツで、情報セキュリティの基礎を習得します。
アカウントの発行
視聴
確認テスト・ アンケート
アニメ調のコンテンツなので、
リテラシーを気にしない
-
はじめに『あなたと組織を守るために』
-
オフィスで持つべきセキュリティ意識 ①
<メールを扱う上での注意点> -
オフィスで持つべきセキュリティ意識 ②
<インターネットやシステムを使う上での注意点> -
オフィスの外でも、きちんと持つべきセキュリティ意識
-
万が一のときに、すぐ報告するのもセキュリティ意識
-
アンケート機能
フェーズ2
実践する
標的型攻撃メール訓練
標的型攻撃メールへの脅威の高まりから、今日では従業者を対象にした標的型攻撃メール訓練の実施がスタンダードに。標的型攻撃メール訓練では、実際の攻撃に似た内容のメールを従業者に送り、そのリアクションを確認します。
安全な標的型攻撃
メールを送信
対象者のリアクション
結果を確認(報告書)
標的型攻撃メールを擬似体験
インシデント訓練対応サービス
事前に作成したインシデントシナリオに沿って、
CSIRT組織のインシデント対応を訓練します。
第三者のトレーナーが進行/アドバイスをすることで、
効果的な訓練が可能です。
インシデントシナリオの作成
シナリオに沿った対応訓練
課題の整理
(ディスカッション)
インシデントは発生することを前提に、
被害を最小化することを考える
インシデント対応の流れ
-
検知/連絡受付
-
セキュリティツールによる検知や従業員からの報告を受付
-
トリアージ
-
情報収集と整理、判断基準に沿って対応の必要性及び優 先順位を判断
-
インシデント
レスポンス -
事象の詳細分析から対応計画、封じ込め、証拠保全、根絶、復旧、再発防止策検討の流れで対応
-
報告/情報公開
-
外部への報告、情報公開を検討し実施。また、組織内部への情報展開も検討。
タイムスケジュール例(120分)
-
20分:検知・連絡受付
-
30分:トリアージ(検査・分析)
-
20分:対応方針の検討
-
20分:復旧措置と再発防止
-
20分:情報公開の検討
-
10分:まとめ及び質問
フェーズ3
自ら考える
セキュリティリスクアセスメント
公的資格を有するセキュリティスペシャリストがセキュリティリスクアセスメントを支援。
セキュリティリスクを洗い出し、今後の対策へ繋げるだけでなく、アセスメントの手法についても浸透させます。
トレーニングで習得できるスキル・習得目標
社会人として必要な情報セキュリティの基礎知識と、実践的な対応力を習得します。
-
標的型攻撃メールを見分け、正しく対処できる
-
情報セキュリティの基本原則を理解し、日常業務で活用できる
-
eラーニングと確認テストを通じて理解度を高め、意識を継続的に向上できる
受講者の声
製造業
トレーニング概要
-
トレーニング期間
-
応相談
-
開催場所
-
応相談
-
受講対象者
-
経営層・一般社員・新入社員
-
前提スキル
-
なし
-
最小催行人数
-
応相談
-
参加費用
-
別途見積
-
備考
-
申し込み方法についてはお問い合わせフォームからご連絡ください。
個人情報の取り扱いや本サービスの規約等につきましては以下をご参照ください。
Contact
お問い合わせ
セキュリティスペシャリストに
お気軽にご相談ください!
「今抱えているセキュリティ課題を相談したい」「自社に必要なセキュリティ対策が
わからない」といった、セキュリティのお悩み相談を無料で受け付けております。
まずは相談する
お電話でのお問い合わせも受け付けております
03-6822-9995
(平日 09:00 ~ 17:00)
-
詳しく
説明を
聞きたい -
見積もりを
取りたい -
申し込みたい
サービス概要資料(PDF)をダウンロード
Webには掲載していないサービス概要や、
ご支援内容、価格等を詳しくご紹介しています。
-
情報セキュリティ教育の必要性がわかる!
-
網屋の情報セキュリティ教育の特長と効果がわかる!
-
教育ラインナップがわかる!
資料を無料ダウンロード
標的型攻撃メール訓練と講習を組み合わせたことで、社員の理解度や意識の定着がこれまで以上に向上したと思います。