会社の情報資産を守っていくためのセキュリティ対策。そのセキュリティ対策に関する知識を、脅威やトレンドに合わせ、常にアップデートできるツールがPSAT(Proofpoint Security Awareness Training)です。我々パクテラ・コンサルティング・ジャパン株式会社(以下、パクテラ)は、そのPSATを企業に導入し、適切に運用するためのコンサルティングを行っています。今回はご相談をいただく中で、よく聞く3つの課題と、パクテラが提供する支援、強みについてセキュリティコンサルティング事業部(以下、SCG)のマネージャーにインタビューしました。
セキュリティ対策における3大課題
PSATにつてい教えてください
PSAT(Proofpoint Security Awareness Training)は、プルーフポイント社が提供しているセキュリティ意識向上のためのトレーニングパッケージです。このトレーニングを通じて、従業員がセキュリティやプライバシーの脅威に対して適切に対応できるよう行動の変化を促します。これにより、組織全体のコンプライアンス確保や、フィッシング攻撃からの防御を強化し、人為的なインシデントを減少させることができます。
パクテラが導入支援するプルーフポイント社の製品についてはこちら⇒ https://www.proofpoint.com/jp/products/security-awareness-training
セキュリティ教育に関する課題には、どのようなものがあるのでしょうか
多くのクライアントに共通する課題は、以下の3つです。
1. 教育コンテンツや教材の不足
サイバー攻撃は日々進化しています。状況が変わる中で、トレンドに応じた教育コンテンツを常にアップデートしていくことに課題を抱えています。
2. 知見やノウハウ不足による教育コンテンツの活用難
PSAT以外にも多様なツールが存在しますが、自社に最適なツールやコンテンツを選定し、効果的な教育を実施する方法が分からないことが多いです。
3. グローバル展開における課題
昨今では、グローバルに事業を展開するクライアントも増えていますが、海外のグループ会社に対するセキュリティ教育においては、リソースの確保や海外拠点の担当者とのコミュニケーションについての課題が多く聞かれます。加えて、海外向けのコンテンツ選びのノウハウが不足しているなど、その国に対応した教育コンテンツを作ることが非常に難しいです。
今回は、1つ目と2つ目の課題を抱えていた大手製造会社様向けにPSATを導入した事例を紹介します。
導入事例:大手製造会社様での導入支援
PSAT導入前、クライアントにはどのような課題がありましたか
こちらのクライアントでは、教育コンテンツや運用知見やノウハウ不足に加えて、セキュリティ教育に対するリソース不足という課題がありました。本社のセキュリティチームの方々が、セキュリティ教育以外にも多くの業務を抱えており、教育に割ける時間がない上に、教育コンテンツをどのように運用していけばよいか分からないという状況でした。
実際に取り組んだ支援内容を教えてください
このクライアントの場合は、私たちパクテラのコンサルタントがセキュリティチームの一員として、セキュリティ教育の計画、実行、振り返りのサイクルを一緒に回していく形で支援いたしました。
まず、対象者が必要なセキュリティ教育全体をマッピングした資料を作成し、現在実施している教育と、足りていない教育について相互認識を図る話し合いを持ちました。すべての不足をすぐに埋められるわけではありません。不足している教育や実施にあたっての課題を特定しながら、できる限り満遍なく必要な教育がいきわたるよう、中長期的な計画を立て、それを実行していきました。具体的な取り組みは以下の2点です。
1. PSATのコンテンツ選定〜運用
実際に発生したインシデントや、今流行っているセキュリティの脅威に応じて、パクテラコンサルタントがPSAT上から適切なコンテンツを選定し、随時提案しています。これらの実際に即した教育コンテンツの運用を進めることで、従業員のミスや不注意、悪意によるインシデントの再発を防ぐことを狙っています。
2. 新入社員向けの教育構築
新入社員は、セキュリティの意識がまだ構築されていないケースも多く、サイバー攻撃の対象となりやすいです。そこで、我々は入社した月に、最低限覚えておいてほしい内容を踏まえたコンテンツのパッケージを配信し、受講する運用方法を確立しました。
このように、クライアントの状態、悩みに合わせた施策を行っていくことが私たちの役割です。
そのほか、他社ではどのようにセキュリティ教育を行っているのかを参考にされたいクライアントもいらっしゃいます。これまでのパクテラの支援事例の中から合うものを共有し、クライアントに適した計画を一緒に立てていくケースもあります。先回りして、「この辺りは躓くポイントなのでこういう風に進めるといいですよ」といったアドバイスをさせていただくことも多いです。
導入支援を通しての工夫
施策を考えていくにあたり、意識した点を教えてください
クライアントが行ってきたセキュリティ対策を把握し、何を改善していきたいのかヒアリングしました。その上で、組織としての弱点を穴埋めしていくことを意識しました。
セキュリティには、気を付けるべき点が多くあります。例えば、不審メールへの対応や、パスワードの管理、最近ではリモートワークに伴う社外での働き方に関する注意点も増えています。適切なコンテンツ選定には現状の課題点を特定することが必要です。
まずクライアントの従業員に対し、様々なトピックを網羅したクイズを一斉に実施し、正答率が低いカテゴリを洗い出します。そして、課題となる部分を重点的に学習できるコンテンツを配信する提案をしています。
営業力を考えた時には自分たちの強みを伸ばす教育が多いですが、セキュリティ教育の場合は、一律に穴がない状態を目指します。会社全体としてのセキュリティ意識を高め、従業員一人ひとりの対応力を底上げすることが、サイバー攻撃から会社を守るために重要です。クライアントの弱点を把握し、それに合ったコンテンツや施策を提案するということに注力しています。
※Pactera Base(パクテラベース)では、日常に潜む、セキュリティインシデントとその対策を紹介しています
施策を進めていく中で難しかった点はありましたか
支援全体を通して難しかったのは、様々な拠点との調整です。セキュリティ教育を実施する対象は本社だけでなく、関係会社の従業員も含まれます。そのため、関係会社のIT部門やセキュリティ担当者と連携する必要がありました。
また、従業員の方々にセキュリティ教育の重要性を理解してもらうのに苦労するケースもありました。特に製造現場の設備は24時間稼働していることが多いため、設備を止めずに最新のセキュリティ状態を維持することも現場で共通する課題でした。現場にPCがなく、PSATが使用できないクライアントには、PowerPointで作った資料を基に教育を受講していただくというように、クライアントや受講対象者に応じて考えながら導入を進めていきました。
最後に
今回はセキュリティ教育における3大課題のうち、「教育コンテンツや教材の不足」と「知見やノウハウ不足による教育コンテンツの活用難」の解決を支援した事例を紹介しました。
次回は、セキュリティ教育を運用する際の「グローバル展開における課題」について紹介します。
この記事についてのお問い合わせはこちら⇒ 問い合わせフォーム
※「お問い合わせ内容」の覧に、記事名もしくは記事URLをご記載ください
採用情報はこちら⇒ Pactera Recruit
現場コンサルタントとの面談等も対応可能ですので是非お気軽にお問い合わせください!
