2024/02/05ガバナンス

NIST SP800-50に基づいたセキュリティ研修の実施方法

twitter

Linkedin

NIST SP800-50に基づいたセキュリティ研修の実施方法 

監修:CISO事業部 吉田 卓史

要旨

2017年の働き方改革関連法成立や、20202月頃から世界的に猛威をふるった新型コロナウイルスの影響により、場所や時間に捉われないテレワークの導入をはじめとしたデジタルトランスフォメーションが進んでいます。数多くの企業がインターネット社会で事業を営むにあたり、様々な脅威に晒されることになります。そのため、多角的な視点での情報セキュリティ対策が求められ、大きく3つの側面から検討する必要があります。3つの側面とは、「技術的」「組織的」「人的」対策です。

  • 技術的対策:技術的な対策には主に二つ※あり、多層防御とネットワーク分離です。多層防御は、様々な種類のセキュリティ脅威に対し、それらを入り口、内部、出口にて多層的に防御することを指します。一方、ネットワーク分離はインターネット側に重要な情報を置かないことで、被害を最小限に留めるという発想に基づいた対策です。これらの技術的対策を実施して情報(IT)やコンピュータシステムを利用する際に、機密性、完全性、可用性などの情報セキュリティ要件を確保しています。※現在はこの2種類の対策のみだけでなく、ゼロトラスト等の対策の検討が必要です。
  • 組織的対策:情報セキュリティ対策の方針や行動指針を具体的に定義したものを情報セキュリティポリシーと言い、このポリシーは適用範囲を設定し、情報資産を保護するための基本方針、組織的な対応体制、対策基準、実施手順などを詳細に記載します。情報セキュリティポリシーの主な目的は、組織が情報セキュリティ対策を適切で組織的に講じ、情報資産を効果的に保護することです。
  • 人的対策:人的対策とは、内部から生じる情報漏洩などの情報セキュリティインシデントへの対策です。この原因のほとんどが、社員や関係する業者からのミスや不正によるものだからです。普段の業務における情報セキュリティリスクや初動対応について、従業員一人一人が知ることで組織全体のリテラシー・モラルを高めることができます。

本記事では、人的対策の情報セキュリティ教育の中でも、普段の業務においてより情報セキュリティに密接な従業員向けの教育のあり方について、NIST SP800-50に焦点を当て、その概要や方法について、解説します。

 

情報セキュリティ教育とは

 「情報セキュリティ教育」とは、情報セキュリティインシデントを防止するため、全従業員が一体となり情報セキュリティに関する意識向上を促すための教育活動を指します。情報セキュリティ教育には一般従業員向け、IT要員向けの二種類に分けて検討する必要があります。

 一般従業員向けの教育では、基本的な情報セキュリティに関する意識(リテラシー)の向上を目的とし、普段の業務において情報セキュリティリスクを認識し、誤った操作や判断を行わないよう注意喚起することが大切です。また、システム管理者を含むIT要員向けの教育では、情報セキュリティインシデントの発生を想定した初動対応や各担当業務における情報セキュリティ対策に関する研修を実施することで、組織の情報資産を脅威から守り、被害を最小限に抑えることができます。

 情報セキュリティインシデントのリスクは、サイバー攻撃やウィルス感染といった組織外部からの脅威だけではなく、社内環境から自宅へのデータの持ち出しや機密情報が入ったデバイスの紛失、従業員によるSNSでの機密情報の公開等の組織内部の脅威も含まれます。これらは情報セキュリティに関する意識の低さに起因する人的インシデントといえます。どれだけ強固な情報セキュリティシステムを構築しても、それを利用するのは結局のところ「人間」です。そのため、正しい知識と対策方法を従業員一人一人が身につけて、情報セキュリティに関する意識、つまり情報セキュリティに関する基本的な理解を高めることがインシデントを防ぐための基本的な対策になります。

 「情報セキュリティ教育」の効果を最大化させるためには、経営層などの管理者を含むすべての従業員がそれぞれ求められる情報セキュリティの役割を理解し、遂行することが重要です。そして、教育はその情報提供という観点で、非常に重要な学習プログラムです。

 NIST SP800-50とは

 SP800-50は、NISTが提供する「ITセキュリティに関する意識向上およびトレーニングプログラムの構築」に関するガイドラインです。当ガイドラインをベースに情報セキュリティ教育を設計すると3つのカテゴリー(意識向上、トレーニング、教育)があり、それぞれの情報セキュリティ研修の違いについて、特に身近な意識向上・トレーニングの詳細に触れます。

表1:フレームワークの比較 *1

「意識向上」の実施方法について

「意識向上」は、あくまでも啓蒙活動のようなプログラムであり、トレーニングではありません。各自がIT セキュリティの問題を認識し、適切な対応を行うことを目的としています。プログラムに関する設計は次のとおりです。

  • 対象及び目的:「意識向上」の対象者は、ITサービスを利用するすべての従業員です。通常業務を行う中で、必要な情報セキュリティ対策を意識し、組織の情報セキュリティポリシーおよび手順などの必要最低限の情報セキュリティ知識を理解し、これを遵守することが求められます。
  • 方法:従業員を情報セキュリティ対策に関して意識醸成させるためには、メッセージを繰り返し様々な方法でアプローチすることが重要です。具体的には、朝会などでの注意喚起、グループチャット/メールでの呼びかけ、E-ラーニングに加え、ポスターなどの有効的な方法があります。
  • 扱うテーマ:「意識向上」で取り扱うトピックは、従業員向けで情報セキュリティ知識がない人でも理解できるものでなければなりません。例えば、正しいwebの利用方法、不審メールの特徴及び対応方法、パスワードの運用方法、及び有事の際の緊急連絡などがあります。
  • 効果測定:効果測定では、品質、目的、展開方法(Web ベース、オンサイト、オフサイト)の妥当性、理解度、使いやすさ、セッションの期間、関連性、修正にかかる要素を組み込む必要があります。フィードバックを求めるため、最も一般的な方法は、○/×クイズ、アンケート、及びインタビュー等があります。どのような情報を取得したいかに応じて、手法を選択しましょう。
  • 所要時間:1回の「意識向上」に必要な時間は、方法にもよるが、10分程度と比較的、短い時です。しかし、「意識向上」は繰り返しを行うことが重要なため、一度の研修や呼びかけの実施では従業員間での理解度に差が出てしまったり、時間が経つと忘れてしまったりするケースは意外と多いものです。以下のよう決まったタイミングで繰り返し研修等の取り組みを行い、いざというときに適切な判断ができるようすることが大切です。月に1回や半年に1回、同業他社で事故が起きたとき、自社で事故が起きた時、または起きそうになったとき、社内で情報セキュリティに関するルールが変更になったとき。特に自社で事故が起きた、または起きそうになったタイミングは身近な事象のため、情報セキュリティに対する社員の向き合い方が格段に上がります。タイミングを見極めてより効果的かつ効率よく実施しましょう。

 

「トレーニング」の研修実施方法について

 「トレーニング」は意識向上で学習する情報セキュリティ対策と比べ、高度な情報セキュリティ知識・経験が求められるため、長期的な戦略が必要で予算も掛かるため、まずは外部委託するか内製するか検討する必要があります。内製するリソースがあれば、NIST SP800-50NIST 特別刊行物 800-16を用いて、コースマテリアルを作成することができます。「トレーニング」プログラムに関する設計は次のとおりです。

  • 対象及び目的:「トレーニング」の対象者は、ITセキュリティ以外の職能的専門分野(マネジメント、システム設計および開発、調達、監査部門など)の実務者です。各自、IT関連の業務を行う中で、必要な情報セキュリティス知識及びスキルを身につけることが求められます。「トレーニング」と「意識向上」の最も重要な相違点は、「トレーニング」が情報セキュリティを専門外とする人員に情報セキュリティとしての機能を果たすよう教育するのに対し、「意識向上」では、ある情報セキュリティ対策に個々の意識を向けさせようとしているところにあります。
  • 方法:「トレーニング」において有効な教育方法は、レクチャーやケーススタディ等があります。「意識向上」で用いる方法とは異なり、対象者の業務特性を踏まえた具体的でテクニカルな情報セキュリティ対策のため、レクチャーやケーススタディのような実践指導が必要です。
  • 扱うテーマ:「トレーニング」で用いるテーマは、担当部署ごとに異なるため、それぞれの役割・求める機能に応じてテーマを設定する必要がある。それを示すのが下記のチャートです。

図1:情報セキュリティトレーニングに関するマトリックス *2

  • 例1)1Aのケース、機能的専門分野:管理、トレーニング領域:法令遵守

"管理"ITシステムを管理する担当者が該当し、法律やガイドライン標準に関するITセキュリティを学習します。具体的に、政府および組織固有の公開文書(法律、規制、ポリシー、ガイドライン、標準、行動規範)やリスクマネジメントを理解し、自社の情報資源管理(IRM)マニュアルに統合するスキルを習得する内容です。

  • 2 2Bのケース、機能的専門分野:調達、トレーニング領域:法令遵守

"調達"IT製品やサービスの調達に関わる担当者が該当し、法律やガイドライン標準に関するITセキュリティを学習します。具体的に、作業報告書やその他の適切な調達文書(調達要請書、発注書、業務発注書、提案評価要約など)に含めるべき情報セキュリティ要件を理解し、ITベンダーから提案された情報セキュリティソリューションがRFP(提案依頼書)で詳細に述べられた要件を満たし、規制に準拠しているかどうかを判断するスキルを取得する内容です。

  • 32Cのケース、機能的専門分野:設計および作成、トレーニング領域:開発

"設計および作成"はシステムおよびアプリケーションの設計と作成を行う担当者が該当し、情報技術(IT)システムのライフサイクル全体にわたり、初期の要件定義から資産廃棄までの各段階を理解し、情報セキュリティ要件を考慮してシステムの実装や運用に関して学習します。具体的に、システムを実装し、システムのパフォーマンスを分析し、情報セキュリティに関する問題を解決するなどのスキルを習得する内容です。

  • 所要期間:コンテンツの難易度などにも依存するが、1週間程度の期間を要する傾向にあります。実施頻度については、基本的な情報セキュリティ知識やIT知識が前提となっているため、「意識向上」のように継続的に実施することの必要性は低くなる傾向があります。
  • 効果測定:「トレーニング」でも「意識向上」と効果測定を行う目的は同様であるが、方法が少し異なってきます。「トレーニング」の場合、学んだ知識やスキルを実際の状況や問題に適用できるようになることを目指すため、記述式の回答などで測定することが最も一般的です。

 終わりに

 情報セキュリティインシデントを未然に防止するためにも、従業員向けの情報セキュリティに関する啓蒙活動は非常に重要な位置づけです。万が一、インシデントが発生した場合、対応できる要員を育成することも等しく重要です。どちらか一方を実施していれば、良いという考えではなく、上手く組み合わせて実施しないと望む効果は得られません。

NIST SP800-50の学習の連続性を考慮し設計することは、個人が情報セキュリティに関する知識やスキルを継続的に向上させることに繋がります。適材適所、必要な情報セキュリティに関する知識を身に着けることで、会社の情報資産を守りましょう。

 

レファレンス

*1:National Institute of Standards and Technology."An Introduction to Computer Security: The NIST Handbook." NIST Special Publication 800-16, U.S. Department of Commerce, October 1995,
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-16.pdf

 *2:Information-technology Promotion Agency, Japan (IPA)."Guideline for Securing Web Applications." Version 1.0, May 2012,

  【プロフィール】

監修:吉田 卓史(よしだ たくし)

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。

twitter

Linkedin

コラム一覧に戻る