効果を最大化するセキュリティ意識向上トレーニング
プルーフポイントは、SaaS型の従業員向けセキュリティ意識向上トレーニング「Proofpoint ZenGuide(以下、ZenGuide)」を提供している。ZenGuideには、セキュリティ教育で重要となる3つの要素が盛り込まれている。最初にユーザーリスクを①診断(Assess)し、そこから②行動変容(Change Behavior)を促し、教育の③効果(Evaluate)を評価するのである。1つずつ見ていこう。
①診断:ベースライン作成、脅威リスク特定
まずは、クイズ形式のナレッジアセスメントでユーザーのリテラシーを測定。ここでの測定結果がベースラインとなり、誰がどの分野を苦手・弱点としているかを把握する。診断テストはあらかじめ定義されたテンプレートがあるほか、組織ごとに独自のコンテンツを追加することも可能だ。
抜き打ちのフィッシングメール訓練もある。プルーフポイントが収集した実物のフィッシングメールをテンプレートに組み込んでいるため、限りなく実践環境に近い訓練ができるとのことだ。メールに引っかかった人には、自動的にトレーニングへアサインする設定も可能だという。個別に集計する手間を心配する必要はなさそうだ。
なお、「ミスした瞬間が学習効果を最大化できる機会でもある」と原氏は語る。訓練で引っかかってしまった際にも、ただ「これはフィッシングメール(訓練)です。あなたは引っかかってしまいました」と表示して終わるのではなく、ワンポイントアドバイスなどを盛り込むことで、知識の定着を図れるような工夫もされているという。
②行動変容:アダプティブラーニング、自動化と行動の強化
トレーニングモジュール(教材)には、ユーザーが飽きずに学習効果を最大化できるよう、一口サイズのモジュールが多数用意されている。形式も対話型、ビデオ型、ゲーム型など多様にそろっており、学習の最後にはクイズで理解度を確認することもできる。言語は、日本語を含めて43ヵ国語に対応しているとのことだ。
社内でこういった教育プログラムを実施する際、管理者にとって大きな負担となるのが“カリキュラム策定”だろう。しかしZenGuideのフレームワークでは、学習コンテンツはメールや内部脅威だけではなく10ドメインにわたり、学習難易度は4段階に分けて用意されている。そのため、管理者はユーザーごとに適したコンテンツを策定し、割り当てていくことができるのである。
なお、プルーフポイントのメールセキュリティを利用していれば、本物の不審なメールはワンクリックで管理者に通報できる。通報されたメールは自動で解析され、本当に危険なメールであれば自動対処・自動隔離が行われるとのこと。社内の他のユーザーにも同様のメールが届いていれば、一斉に処理することもできる。こうして、ユーザーからの情報をセキュリティ運用に組み込むことで、組織全体の防御力を高めつつ、管理者の工数削減も期待できる。
③評価:行動変容の測定
従業員のアセスメント成績や、フィッシング訓練・トレーニング受講の履歴などは、「CISOダッシュボード」にて定量的に可視化される。実はこの機能、日本ユーザーからの要望で実装されたのだという。自社の現況を、同業他社や取引先の平均値と比較することも可能だ。スコアの推移も確認できるため、セキュリティ教育の効果を把握することにも役立つだろう。もちろん、経営層への報告にも活用できる。
さらに特徴的な点が、「トレーニングを受講すべき対象者」を可視化できることだ。アセスメント成績が低く、かつ訓練によく引っかかるユーザーをベン図で表示できる。同社のメールセキュリティツールと組み合わせて利用している場合、高度な攻撃が頻繁に届くユーザーや、フィッシングメールの被害に遭いやすい要注意ユーザーをあぶり出せるようになっているのである。
メールセキュリティ製品とセキュリティ意識向上トレーニングを連携して取り組みの効果を最大化できるのは、プルーフポイントならではの強みといえる。
