#サイバースマートになろう (#BeCyberSmart): 共に学び、共により安全な環境へ

Vasu Jakkal
セキュリティ、コンプライアンス、アイデンティティ担当 コーポレートバイスプレジデント

※本ブログは、米国時間 10 月 4 日に公開された “#BeCyberSmart: When we learn together, we’re more secure together” の抄訳を基に掲載しています。

2021 年はサイバーセキュリティの転換点となる年です。パンデミックが継続して新たな課題をもたらしており、攻撃者は多忙なセキュリティチームの隙を狙って新たに人間が操作するランサムウェア 1 やマルウェアを展開しているほか、Colonial Pipeline 2 や JBS Food 3 などへの攻撃のように、国家レベルでの攻撃も仕掛けてきています。ハイブリッドワークやリモートワークへの移行に伴い、セキュリティ専門家が管理し保護するエンドポイントの数も増えています。一方、脅威的な行為を行う人物は、さまざまな場面でその隙を突いてきます。セキュリティパッチの適用や、ソフトウェアおよびアプリケーションのアップデートなど、基本的なサイバーハイジーンを実践することが、シンプルに組織を強化することにつながるのです。

10 月はサイバーセキュリティに関する国際的なキャンペーン月間 (CSAM: Cybersecurity Awareness Month) です。今年の CSAM では、私たちがそれぞれできることから、サイバースマートになろう (#BeCyberSmart) というテーマに基づき、サイバーセキュリティ教育の重要性を強調していきます。より多くの従業員が個人用デバイスと会社用デバイスを交互に利用するようになったことから、サイバー空間についての意識を高めることがより重要になりました。新たな脆弱性が発生する中で、「全員のセキュリティを確保する」ことは、これまで以上に組織の成功に欠かせないものとなっているのです。

Security for all をはじめるにはまず教育から

従業員は今でも非常に高い確率でフィッシング詐欺の餌食となってしまっています。Terranova と協力して作成した 2020 Gone Phishing Report (2020 年フィッシング消滅レポート) によると、リスクにさらされているのはリソース不足の小規模組織だけではありません。対策が整っている大規模な組織の方がより脆弱であることも明らかになっています。

図 1: 組織規模別によるフィッシングのクリックスルーレート
図 1: 組織規模別によるフィッシングのクリックスルーレート

セキュリティ専門家とその組織では、常にトレーニングと教育について検討しています。セキュリティ意識調査である The SANS 2021 のデータによると、75% 以上のセキュリティ啓蒙家が、セキュリティ意識向上に費やしている時間は半分以下であると回答しています。つまり、意識向上に向けた活動は本格的にはまだなっていないということなのです 4。パンデミック時には、調査回答者の 32% が、都度対応するセキュリティ対策についてのユーザーへの教育とサポートにかける時間が増えたと答えています 5

そのためマイクロソフトのセキュリティ部門では、教育コンテンツを提供し、組織がサイバースマートになれるよう (#BeCyberSmart)、また職場と自宅の両方で安全を担保する方法を学べるよう支援しています。2021 年 10 月 7 日には、2021 Microsoft Digital Defense Report をリリースする予定です。同レポートでは、サイバー犯罪の最新動向や、ハイブリッドな職場で働く従業員のセキュリティ構築、偽情報対策などを検証しています。こうして統合されたデータと実用的なインサイトをまとめることで、世界中のコミュニティでデジタルエコシステム全体が強化できるよう支援したいと考えています。

協力してより安全な世界を

リモートワークやハイブリッドワークの世界では、「包括的なセキュリティ対策」が施されていない限り組織の脆弱性は高まります。包括的なセキュリティには、テクノロジだけでなく教育も含まれます。つまり、脅威に関する最新情報を伝え、ID やデータ、デバイス、そして自宅のネットワークを保護する方法を教育するのです。マイクロソフトがすべての人に向けたサイバーセキュリティ教育サイトを構築したのもそのためです。ここで皆様により多くのことを学んでいただければと思います。

2021 年の Cybersecurity Awareness Month のテーマである「私たちがそれぞれできることから、サイバースマートになろう (#BeCyberSmart)」は、個人から企業に至るまで、すべての人がオンライン上での生活を守り、より安全な世界を構築できるよう、全員の参加を促すという意味があります。

・ 2021 年 10 月 4 日: サイバースマートになろう

この週はベストプラクティスに焦点を当て、一般的なサイバー衛生にフォーカスします。まずは、強固なパスワードや多要素認証、データのバックアップ、ソフトウェアを定期的にアップデートして利用可能なパッチをすべて適用するといった基本から始めます。マイクロソフトセキュリティでは、サイト上にてアカウントを安全に保つ方法や、脅威から身を守る方法、パスワードレス化を採用する方法などについて、すばらしいリソースを提供しています。また、マイクロソフトストアでは、小規模ビジネスの経営者に向けたサイバーセキュリティトレーニングを実施しています。同トレーニングでは、セキュリティ、コンプライアンス、アイデンティティ、デバイス管理など、現在のあらゆる事業で必要な相互依存性の高い部分に関する主要トピックをカバーしています。

・ 2021 年 10 月 11 日: フィッシングに立ち向かおう

知らない人や、通常仕事で関わることのない人 (役職に Chief がつくエグゼクティブや、購買注文など) からのメッセージやチャットを見分ける方法を学びます。今年マイクロソフトは Terranova 主催による Gone Phishing Tournament (フィッシング消滅大会) のスポンサーとなっており、フィッシングから身を守る方法についての指針をパートナーと共にまとめました。この大会は、セキュリティおよびリスク管理のリーダーを対象に毎年開催される無料のサイバーセキュリティイベントです。

・ 2021 年 10 月 18 日: 見つけ、体験し、共有しよう (サイバーセキュリティキャリアの認知向上)

National Initiative for Cybersecurity Education (NICE: サイバーセキュリティ教育に向けた国家イニシアチブ) では、サイバーセキュリティ分野のキャリアを模索してもらうため、1 週間のキャンペーンを実施します。マイクロソフトでは、学生や退役軍人、再就職を目指している人、さらには 21 世紀の労働力の中でも重要となるこの分野に興味のあるすべての人に積極的に働きかけています。この週は、マイクロソフトセキュリティが初のマイクロソフト学生サミット (Microsoft Student Summit: S2) に参加します。S2 は 3 日間にわたるバーチャルスキルイベントで、高等教育機関の学生の就職活動を支援するものです。同イベントは、学生がマイクロソフトのエグゼクティブから学びを得、最新のマイクロソフトテクノロジを掘り下げ、スキルアップしたり自らの注目度を高めたりすることで学生が道を切り開けるよう支援することを目的としています。また、マイクロソフトの認定資格を取得しやすいよう環境も整えており、Azure Data、セキュリティ、アイデンティティとコンプライアンス、Power プラットフォームなどに焦点を当てた Microsoft Fundamentals 認定資格対応の 4 時間にわたる試験対策ライブセッションを毎日開催します。

サイバーセキュリティで多様性を確保することは、大きな機会につながります。現在、サイバーセキュリティ分野の労働力で女性の占める割合はわずか 24% です。つまり、少女や女性にサイバーセキュリティのさまざまな分野に進むことを検討してもらうには、さらなる取り組みが必要なのです。マイクロソフトセキュリティが Girl Security と協力関係を結んだのはそのためです。Girl Security は、新しいアプローチによって、安全を保つ対象となる国家やコミュニティ、人類を反映したサイバーセキュリティ人材を構築しようと取り組んでいます。マイクロソフトセキュリティと Girl Security は、思春期の少女や成人した女性、性的マイノリティの人たちを支援するために設計されたオープンソースのカリキュラムにより、サイバーセキュリティをわかりやすく解説し、学んだ知識を共有する実際のロールモデルを示し、サイバーセキュリティの目的に沿ったミッションと需要のあるスキルに興味を持ってもらうよう取り組みます。この週には、教育に関するさらなる取り組みを発表する予定ですので、セキュリティブログこちらの最新情報をご確認ください。

・ 2021 年 10 月 25 日: サイバーセキュリティを第一に

これは、従業員の入社時にサイバーセキュリティのトレーニングを実施し、安全を保つために必要なツールを提供することです。個人に対しても、インターネットに接続する時は、自宅でも職場でも毎回サイバーセキュリティを第一に考えてくださいと呼びかけていきます。常にセキュリティとプライバシーの設定を考慮し、できるだけパスワードなしでサインインできるようパスワードレスへと移行してください。この週は、マイクロソフトの最高情報セキュリティ責任者 (CISO) であるブレット アーセナル (Bret Arsenault) が、ハイブリッドワークのベストプラクティスをご紹介します。また、この週の特集記事をすべてご覧いただき、サイバーセキュリティを第一に考えていただければ幸いです。

いつでもアクセスできるセキュリティ関連情報はここに

マイクロソフトの包括的なセキュリティへのアプローチは、エンドツーエンドのセキュリティソリューションを超えたものとなっており、お客様がテクノロジを安全に利用できるよう、教育やベストプラクティスを提供しています。また、より安全なオンライン体験ができるよう、2021 Microsoft Digital Defense Report を 10 月 7 日に当社サイト上で無料公開します。同レポートは、マイクロソフトセキュリティが作成したレポートの中で特にダウンロード数が多い資料です。今月は、2021 年サイバーセキュリティ意識向上月間の各週のテーマに沿った詳細情報や役立つヒントが満載のブログ記事を公開していきます。トレーニングや資格など、さまざまなリソースにアクセスするには、マイクロソフトセキュリティによるサイバーセキュリティ認知向上教育ページをご覧ください。

マイクロソフトセキュリティのソリューションの詳細は、こちらのページをご覧ください。また、セキュリティブログをブックマークして、セキュリティに関する専門情報をご確認ください。@MSFTSecurity でもサイバーセキュリティに関する最新ニュースや最新情報を発信していますので、フォローしていただければと思います。


1 人間が操作するランサムウェアの根絶に向けた対策ガイド: 第 1 段 – マイクロソフトセキュリティ 検知対策チーム – 2021 年 9 月 20 日
2 ハッカーが不正アクセスによって入手したパスワードで Colonial Pipeline に侵入 – Bloomberg Cybersecurity – William Turton および Kartikay Mehrotra – 2021 年 6 月 4 日
3 食肉業大手の JBS、サイバー攻撃への対処に身代金 1100 万ドルを支払う – BBC News – 2021 年 6 月 10 日
4 人にまつわるサイバーリスクの管理 2021 年セキュリティ意識レポート – SANS Security Awareness – 2021 年
5 コロナ禍における情報セキュリティ専門家 – Microsoft 365 セキュリティおよびコンプライアンスユーザー調査 – Sarah Tian および Yonatan Dubinsky – 4 月 24 日より

本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。

Tags: , , , , , , , ,

関連記事